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EDITORIALE 


'uscita di una rivista genera molta aspettativa sia per 
chi la legge, sia per chi la realizza. 

E' una sorta di appuntamento al buio. Nessuno sa con 
certezza se le idee della redazione incontreranno il favore 
dei lettori. Nessuno può prevedere con ragionevole 
approssimazione se ci sarà un “felice matrimonio” tra 
contenuti e gusti dei lettori. 

Negli ultimi numeri abbiamo cercato di capire come 
Hacker Journal dovrebbe evolversi per arrivare, magari 
tra qualche anno, a festeggiare il numero 300 in piena 
salute (del duecentenario imminente ne parleremo nei 
prossimi numero. 

Molte indicazioni, sia nella posta che sul forum, 
sembrano apprezzare una sorta di svolta tecnica che è 
avvenuta soprattutto a partire dal numero 196. 

C'è, da parte dei lettori, molta curiosità, voglia di 
approfondire ma, soprattutto, competenza. 

Ci siamo accorti, leggendo i contributi inviati al 
“Laboratorio" di HJ, come lo skill di alcuni utenti 
della rivista sia davvero notevole. Paradossalmente 
potrebbero davvero rubarci il lavoro e venire qui in 
redazione a fare la rivista e non sono altrettanto sicuro 
che noi della redazione saremmo altrettanto attenti e 
partecipi come lettori. Paradossi a parte, proseguiamo 
nella direzione che molti di voi sembrano indicarci. 

Come leggerete nella rubrica della posta “incombe” un 
serio e articolato corso di programmazione in C. Che ne 
pensate? 


laboratorio@hackerjournal.it 
Questo indirizzo è stato creato 
per inviare articoli, codice, spunti 
e idee. E’ quindi proprio una 
sorta di "incubatore 
di idee”. 

posta@hackerjournal.it 
E’ l’account creato per 
l’omonima rubrica che è 
ricomparsa nelle pagine della 
rivista. A questo indirizzo dovete 
inviare tutte le mail che volete 
vengano pubblicate su HJ. 

redazione@hackerjournal.it 
Questo è l’indirizzo canonico. 
Quello con cui potete avere 
un filo diretto, sempre, con 
la redazione, per qualsiasi 
motivo che non rientri nelle due 
precedenti categorie di posta. 
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S e il mondo intero, quello 
reale, sembra sempre più 
volto ad una globalizzazione 
estrema, con libera 
circolazione di risorse e persone, il 
mondo informatico presenta piccoli 
preoccupanti segni di involuzione. 
Qualche anno fa si pensava che 
il software open source potesse 
sostituire i costosi software 
commerciali e rappresentare una sorta 
di modello condiviso e accessibile a 
tutti. 

Nel 2010 la situazione è rimasta 
pressoché immutata. Non c’è stata la 
grande affermazione dell’open source 
e, anzi, si stanno diffondendo modelli 
di business, informatico, sempre più 
chiusi. 

Qualche esempio? 

Gli store legati alla telefonia, come ad 
esempio Apple Store, propongono un 
modello di distribuzione del software 
chiuso, anzi blindato. Lo sviluppatore 
firma il codice e l’applicazione 
caricata sul sito viene impacchettata 
coi codici sorgente “secretati”, 
inoltre, per scaricarla, bisogna avere 
un particolare terminale, come 
l’iPhone per l’Apple Store, altrimenti il 
meccanismo di download non si può 
perfezionare. 

E’ un sistema rigidamente chiuso su 
se stesso, manco fosse la prigione 
di massima sicurezza di Alcatraz 
(peraltro ormai dismessa tanto per 
significare che i tempi cambiano un 
po’ per tutto e tutti). 

Però curiosamente sono meccanismi 


v T 


di distribuzione che funzionano per 
la telefonia, tant’è che all’Apple Store 
sono seguiti l’Ovi Store, lo Store di 
Android, il Market Mobile di Windows 
ecc... 

Ora, poi, con l’imminente avvento 
dell'iPad e l’apertura dell'iBookStore, 
sembra che questa filosofia di 
distribuzione possa allargarsi 
anche ad apparecchi diversi dagli 
smartphone, finendo per condizionare 
anche il mondo dei computer. Si tratta 
di previsioni pessimistiche e per nulla 
permeate di realismo? 

Forse. 

Certo è che Richard Stallman, 


presente all’interno della rivista, 
che da anni si batte per il libero 
pensiero e la libera distribuzione del 
software, invecchia professando 
la sua affascinante e condivisibile 
filosofia in giro per il mondo. Lo stesso 
mondo che sembra cambiare in 
direzione opposta, scegliendo modelli 
decisamente più remunerativi. 

Forse l’utopia del software accessibile 
a tutti rimane, appunto, un’utopia, 
bella, affascinante ma irrealizzabile. 
Però ci potrebbe essere un 
ragionevole compromesso che le leggi 
di mercato tendono continuamente a 
scoraggiare. 
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SMANTELLATA 
LA BOTNET 
SA 


IN PILLOLE 

5 < 

OPENSSLE 
VULNERABILE 


★ E’ stata rilevata una 
vulnerabilità in OpenSSL 
che, però, può essere sfruttata 
solo con un intervento hardware, 
e OpenSSL è già al lavoro per 
realizzare una patch. 

La scoperta si deve ad Andrea 
Pellegrini, Valeria Bertacco 
e Todd Austin, ricercatori 
dell’Università del Michigan. 
Secondo il loro test bastano 100 
ore di calcolo computazionale 
per ottenere la chiave da 1.024 
bit, ma l'attacco deve essere 
portato a livello hardware 
agendo sul voltaggio del chip 
sotto attacco. 


★ Dopo più di un anno di 
attività, le autorità spagnole 
hanno smantellato la botnet 
Mariposa, arrestando i tre 
responsabili che durante la loro 
attività hanno infettato più di 
13 milioni di computer. Tra i 
computer infetti figurano quelli 
di una buona metà delle 1.000 
aziende della classifica stilata 
da Fortune, e una quarantina 
tra le maggiori società bancarie 
mondiali. Questo è un dato 
estremamente preoccupante 
che deve fare riflettere 
sull’importanza di una corretta 
politica sulla sicurezza, specie a 
livello aziendale. 


venivano riportate, 
come calendario, 
al 1999 o 2000 
perdendo salvataggi 
e manifestando altri 
malfunzionamenti 
(impossibilità 
collegarsi online con 
la rete Playstation 
Network e di giocare 
diversi titoli anche in 
modalità off-line). 
L’errore “dichiarato” 
è l’8005010F. Perché 
sia potuto avvenire 


lo sanno solo i 
programmatori di 
Sony (non avendo 
altri accesso al 
sistema). Peraltro il 
bug è stato superato 
col passaggio al 
2 Marzo, il giorno 
successivo. Non 
c’è stato bisogno di 
intervento da parte 
dei tecnici Sony, 
come era peraltro 
preventivabile, la PS3 
ha fatto tutto da sé. 


jiilfaystiittòn 


Panico per gli utenti 
della Playstation 
per un problema di 
programmazione 
legato all'orologio 
interno che si è 
verificato con 
il passaggio 
del calendario 
da 28 / 02/2010 
a 1/03/210. 
Praticamente 
accendendo alcune 
console FAT (Le slim 
sono risultate esenti) 
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IL WORM CHE 
SFRUTTA LE RETI P2P 
E LE E MAIL 


E’ stato rilevato 
un difetto nel 
Browser Opera 
che consentirebbe 
l’esecuzione di 
codice arbitrario a 
distanza. 

La vulnerabilità 
è causata da un 
errore durante 
l’elaborazione delle 
risposte HTTP con 
Content-Length 
malformato. 

Questa vulnerabilità 
può essere sfruttata 


★ I laboratori di Panda Security hanno scoperto 
un nuovo worm: Skybot.AKB che si diffonde 
attraverso le reti P2P e tramite e.mail. 

La novità è la tecnica utilizzata per ingannare gli 
utenti, diffondendosi come un falso invito per usare 
i social network come Twitter (http://www.flickr. 
com/photos/panda_security/4367549638/) e Hi5 o 
con un messaggio di posta elettronica proveniente 
da Google nel qual si offre lavoro. Inoltre, il codice 
maligno si fa passare come estensione di Firefox 
security (http://www.flickr.com/photos/panda_ 
security/4366803381 /). 


Questi sono alcuni esempi dei testi che compaiono: 


• Jessica would like to be your friend on hi5! 

• You have received A Hallmark E-Card! 

• Shipping update for your Amazon.com order 254- 
71546325-658732 

• Thank you from Google! 

• Your friend invited you to twitter! 


Una volta installato nel Pc, quando l’utente avvia 
una ricerca con le seguenti parole chiave, viene 
diretto verso un contenuto totalmente diverso da 
quello atteso: 

A: Airlines, Amazon,Antivir, Antivirus. 

B: Baseball, Books. 

C: Casino, Chrome, Cialis, Cigarettes, Comcast, 
Craigslist, Credit. 

D: Dating, Design, Doctor. E: Explorer 

F: Fashion, Finance, Firefox, Flifhts, Flower, Football 

G: Gambling, Gifts, Graphic. 

H: Health, Hotel. 

I: Insurance, Iphone. 

L: Loans. 

M: Medicai, Military, Mobile, Money, Mortgage, 
Movie, Music, Myspace. 

0: Opera. 

P: Pharma, Pocker. S: School, Software, Sport, 
Spybot, Spyware. 

T: Trading, Tramadol, Travel, Twitter. 

V: Verizon, Video, Virus, Vocations. W: Wallpaper, 
Weather. 


Il worm porta a termine delle azioni volte a ridurre 
l’efficacia della sicurezza della macchina stessa, 
come l'aggiunta alla lista delle applicazioni 
autorizzate dal firewall di Windows, disattivare il 
servizio dei report di errori di Windows o il servizio 
utenti per il controllo accessi (UAC). 


Le previsioni meteo 

SONO “PERICOLOSE” 

Cercando di aumentare la consapevolezza circa i rischi 
la sicurezza che comporta l’utilizzo di applicazioni di 
parti per smartphone, una coppia di ricercatori ha 
un’innocua applicazione meteo per comandare circa 
iPhone e dispositivi Android in una botnet di telefonia 
mobile. 

Il progetto di ricerca è stato presentato alla conferenza 
RSA di quest’anno per mostrare come innocue applicazioni 
per smartphone possano raccogliere informazioni sensibili 
degli utenti, comprese le coordinate GPS e i numeri di 
telefono. 

Il progetto è il frutto di una collaborazione tra i ricercatori 
Derek Brown e Daniel Tijerina TippingPoint con il sito 
Weather Underground che fornisce informazioni sulle 
previsioni meteo per i suoi utenti. 

L'applicazione, chiamata WeatherFirst, per poter fornire 
informazioni e previsioni sul meteo accede direttamente 
alle coordinate Gps dell’utente, incrociandole con il suo 
numero di telefono. 

I due ricercatori hanno creato anche una 
versione “malevola” di WeatherFirst 
identica alla prima, ma che riesce 
anche a rubare le informazioni da 
smartphone sbloccati, quindi che non 
scaricano le app dagli store abituali 
come l’Apple Store dove il processo 
di sicurezza è rigoroso e include la 
firma del codice per potere distribuire 
la propria applicazione. 


per impostare un 
attacco di tipo buffer 
overflow. 

In assenza di una 
patch, gli utenti di 
Opera sono invitati ad 
evitare la navigazione 
a siti Web non 
attendibili oppure 
passare a un browser 
alternativo. 





















INFEZIONI 


HAI 


I Kaspersky Lab. Hanno pubblicato la lista dei 
programmi malware, adware e programm 
potenzialmente pericolosi che sono stati 
individuati e neutralizzati dalla scansione online 
nel mese di Febbraio 2010. 

A lato si può leggere la speciale classifica. 

Le prime 5 posizioni non sono mutate rispetto 
al mese scorso, e a giudicare dal numero di 
infezioni, l’epidemia di Kido ha leggermente 
perso vigore. 

Exploit.JS.Aurora.a, un exploit molto attivo che 
approfitta delle vulnerabilità di diversi software, 
è entrato direttamente in settima posizione. 


Tra le new entry, una coppia di programmi 
adware FunWeb.q in ventesima posizione, è 
un perfetto esempio di adware: è una toolbar ^ 
per i browser più diffusi, e consente agli utenti 
un accesso facilitato alle risorse di alcuni siti 
web (di solito quelli a contenuto multimediale). • 
FunWeb.q modifica inoltre le pagine che l'utente 
visita in modo da mostrare i banner pubblicitari. 

Le cose si fanno più complicate nel caso di un 
non-virus: AdWare.Win32.RK.aw, che occupa la 
tredicesima posizione. Si tratta dell’applicazione 
RelevantKnowledge che si diffonde e installa 
assieme ad altri software. Nelle norme di 
privacy stabilite dalla società produttrice 
(http://www.relevantknowledge.com/ 
RKPrivacy.aspx) l’utente viene informato che il • 
programma traccerà virtualmente tutta la sua 
attività, soprattutto su Internet, raccogliendo 
automaticamente le informazioni personali del 
malcapitato, e salvandole sui propri server.- 
Prosegue dicendo che tutti questi dati raccolti 
verranno usati con il solo scopo di “aiutare 
a creare il futuro di Internet” e che tutti i dati 
saranno ben protetti. Sta poi all’utente decidere 
se credere o meno a quanto riportato. 
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NOME 

1 Net-Worm.Win32.Kido.ir 

2 Virus.Win32.Sality.aa 

3 Net-Worm.Win32.Kido.ih 

4 Net-Worm.Win32.Kido.iq 

5 Worm.Win32.FlyStudio.cu 

6 Trojan-Downloader.Win32.VB.eql 

7 Exploit.JS.Aurora.a 

8 Worm.Win32.Autolt.tc 

9 Virus.Win32.Virut.ce 

10 Packed.Win32.Krap.l 

11 Trojan-Downloader. WMA.GetCodec.s 

12 Virus. Win32.lnduc.a 

13 Non virus:AdWare.Win32.RK.aw 

14 Non virus:AdWare.Win32.Boran.z 

15 Worm.Win32.Mabezat.b 

16 Trojan.JS.Agent.bau 

17 Pac|ced.Win32.Blac1t.a # 

18 T([ojan-D/opper.Win§2.FiVstii«l.yo 

19 WorrrfWin32.Auto^*un.duj * 1 ’j 

20 Npn vmjs:A«IWarejWyi3^?BifnWel).q 


274729 

179218 

163467 

121130 

85345 

56998 

49090 

48418 

47842 

47375 

43295 

40257 

39608 

39404 

38905 

34842 

32439 

32268 

32077 

30942 
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POSTO 


Faccio presente le statistiche 
sul forum riguardo il corso di 
programmazione in C: 18 voti 
favore, credo siano sufficienti 
Se si tara come verrà impostai 
gh utent! potranno partecipare 
A tal proposito lascio il link de 

Kirsr 10 " 1 

Php?f=10&t=20l. 

Lorenzo G. 


italiana, dai = 00£ 


In effetti, incrociando le 

sul forum r- 

mail, ci sembra di 
corso di p— 
goda di una 

motivo per «_ 

di incaricare due 
collaboratori 

Giovanni Fed_ 

abitualmente sul 

S p U "!u. ÌVÌ ® ta .’- , ’ altro "è U Fabio 

pensare ad una 
impostazione. 

Il problema di u 

programmazione, 


riposte ■ . * ■ l i l i n in i 

e quelle pervenute via 

- capire che il I _• -“-r -• 

programmazione in C 

cui abbiamo deciso 
- nostri validi 

uno per inciso è _ : - 

0 che leggete 
forum e 

BlackLight’ Manganello” d*! WWW 

possibile 

multidimensionali 

•rso di 

1 ® e "n ,e ’ e H P M untatori e ,a gesti °^ 

animazione «Ila memoria (allocazion 

è quello di rilascio). 

•re in poco 

uantità * u " ioni e nuovi tipi, Strut 

ido di dati: liste e stack (modelli 

ali, ma esemplificativo, push/poo 

gli aspetti liste doppiamenteconcate 

ebbe ‘Stringhe: modifica, ricerc 

confronto e copia. Operazi 

‘*™° 

•Programmazione funzionale: 

partire sul numero 200. Ci 

3 *.— tt&Vxr£2S£ 

«cére» ni n ° ! al 90 Htmi di duecento numeri e ottoe„S 


Sono molto contento della vostra 
nvista, tocca argomenti molto 
interessanti e utili. 

Colgo l'occasione per chiedere se 
possibile pnma o poi sottoscrivere 
abbonamento, non ho trovato sul ■ 
la possibilità di farlo. 

Luca 
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Q ual è il grado di 
sicurezza di una 
rete Wi-Fi? Secondo 
i più esperti in 
materia basta circa 
un minuto per scovare la chiave 
di accesso di una rete wireless 
protetta dal noto metodo WEP. 
Poiché non sono poi così tante 
le modalità di protezione di una 
rete internet (Wireless) è più facile 
per gli “scrocconi” accedervi o 
perlomeno portare degli attacchi 
mirati.. 

Per chi non ne fosse a 
conoscenza i metodi di 
protezione di una rete Wi- 
Fi sono soltanto due: WEP e 
WPA. La modalità di protezione 
che al momento dà maggiore 
sicurezza è la WPA anche se 
quella largamente più utilizzata è, 
invece, la WEP. 


c’è bisogno di essere un esperto 
informatico, bastano alcuni 
strumenti e qualche programmino 
in grado di intercettare i pacchetti 
| che vengono trasmessi e 
decriptarli, naturalmente più 
pacchetti vengono captati più 
sono le possibilità di arrivare 
all’obiettivo. 


E UND DEI 
PIÙ DIFFUSI 


Tra i programmi più usati abbiamo 
AirCrack scaricabile da questo 
indirizzo: 

http://downloads.phpnuke.org/it/ 

download-item-view-a-b-m-g-x. 

htm 

Aircrack-ng è un pacchetto che 
permette di recuperare password 
dalle reti 802.11 WEP, WPA e 
WPA2-PSK. Il programma funziona 
in modo semplice, acquisisce 
i pacchetti che circolano sulla 
rete controllata ed esegue le fasi 
tradizionali di recupero: brute 
force, dictionary ecc. 

Inoltre, include gli strumenti 
necessari per ripristinare 
velocemente l’accesso a una rete 
senza fili. 


• WPA: che corrisponde a Wi-Fi 
Protected Access è il protocollo 
realizzato per colmare le falle del 
precedente, più sicuro ma con 
ancora diversi difetti. Il protocollo 
TKIP cambia dinamicamente la 
chiave in uso e la combina con 
un vettore di inizializzazione (IVS) 
di dimensione doppia rispetto 

al WEP (in modo da rendere 
vani gli attacchi simili a quelli 
previsti per il WEP) e può essere 
implementato nelle schede di 
interfaccia wireless pre-WPA, 
che cominciarono ad essere 
distribuite nel 1999, attraverso un 
aggiornamento del firmware. 

• WPA2: ancora poco usata, è 
la nuova chiave che dovrebbe 
sostituire la “vecchia” WPA. 

Per “rubare” una chiave WEP non 


WEP E WPA 


Prima di illustrare i programmi 
usati maggiormente 
approfondiamo il significato di 
queste due sigle WEP e WPA: 

• WEP: corrisponde a Wired 
Equivalent Privacy, fa parte 
dello standard IEEE 802.11, 
specifico per rendere “sicuro” 
l’utilizzo delle reti Wi-Fi.Poiché 
questa chiave di protezione 
con il tempo si è rivelata ormai 
scarsa in termini di protezione è 
stata progettata la chiave WPA 
presente dal 2003. Questa usa 
l'algoritmo di cifratura stream 
RC4 per la sicurezza e CRC-32 
per l’integrità dei dati. 


Eseguiremo l’applicazione dal 
prompt di DOS: per poter eseguire 
il programma anche se non siamo 
nella directory che lo contiene, 
cliccate col tasto destro del 
mouse su “Risorse del computer, 
Proprietà, Avanzate, Variabili 
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d'ambiente, Modifica” portatevi wireless. inserire il numero del canale da 

alla fine della linea su cui sono già Digitate “Airodump” nel prompt controllare (sniffing). Per l’Europa 

scritte altre variabili d’ambiente, del DOS (Start, esegui, cmd). il 14. Se volete fare una scansione 

inserite un punto e virgola e Vi comparirà una finestra di tutti i canali utilizzate lo zero, 

scrivete il percorso in cui si trova contenente le schede di rete 

il programma. trovate sulla vostra macchina. In seguito il programma chiederà 

Avrete anche bisogno di installare Notate che accanto al nome di digitare il nome da dare al file 

dei nuovi driver per il vostro delle schede di rete è presente che verrà creato a partire dalla 

adattatore di rete: i driver originali un numero identificativo. Ad scansione del canale. Digitate il 

non sono stati pensati per fare esempio: nome che vi pare, ad esempio 

cose simili (per trovare dei driver “WEP01 

che possano fare al caso vostro 14 NETGEAR WG51 IT 54 Mbps 

visitate il sito WildPacket online Wireless PC Card A questo punto Aircrack vi 

su www.wildpackets.com). 22 NETGEAR WAG511 802.1 la/ chiederà se salvare gli interi 

Per installare i nuovi driver: b/g Dual Band Wireless PC Card pacchetti catturati o soltanto gli 

“clic destro su Risorse del IV. Per craccare una chiave WEP 

Computer, Proprietà, Gestione In questo caso digitate 22, vi basta salvare semplicemente 

Periferiche, clic destro sul vostro il numero identificativo della gli IV (il che vi farà risparmiare 

adattatore di rete, Proprietà, scheda che ci interessa utilizzare. diverso spazio sull’hard disk, 

Driver, Aggiorna Driver, Installa da Ora vi viene chiesto di indicare quindi digitate “y"). 

un elenco o percorso specifico”. il chipset utilizzato dal vostro 

Scegliete il percorso in cui avete adattatore di rete. Ad esempio: Adesso vedrete una schermata 

scaricato i driver. Assicuratevi, simile: 

infine, che il vostro adattatore di Interface types: ’o’ = Hermesl/ _ 

rete sia ora compatibile col tutto Realtek j . 

‘a’ = Aironet/Atheros 


% 


Il primo passo è ovviamente 
quello di trovare una rete 


Quindi vi sarà richiesto di 
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JUirCrack-ng può 

essere scaricato 

all’indirizzo 

http://downloads. 

phpnuke.org/it/ 

download-item- 

view-a-b-m-g-x. 


Élkì 


filtro dell'Access Point. 

Aicrack continuerà a collezionare 
IV finché non lo fermate. Più 
IV scaricate e più possibilità 
avete di decifrare la chiave. 
Aircrack dovrebbe trovare la 
chiave in pochi secondi. Per una 
chiave da 104 bit collezionate 
circa 2.000.000 di IV: a volte ne 
bastano molti meno, 
altre volte purtroppo 
dovrete scaricarne di 
più. 

Quando sarete 
soddisfatti del 
numero di IV 
collezionati premete 
“CTRL + C”per 
fermare il programma. 


BSSID = l’indirizzo MAC 
dell'Access Point. 


bit, allora digitiamo il comando 
“aircrack-ng -n 64 WEP1 .ivs”. Con 
il parametro “-n 64” diciamo al 
programma che la chiave ha una 
lunghezza massima di 64 bit e di 
non provare quindi oltre. 

Se riusciremo nell’intento, il 
programma ci restituirà un 
messaggio di “KEY FOUND” 

■ | seguito dal nome della chiave. 

Ora che avete la chiave utilizzatela 
proprio come se doveste 
connettervi ad una vostra 
rete “domestica”. Se l’SSID 
dell’Access Point è abilitato 
seguite questo passo. 


PWR = indica la forza del segnale 
che si sta ricevendo. 


BEACONS = sono pacchetti 
“in chiaro” che l’Access Point 
trasmette sostanzialmente per 
dire “sono un access point, 
collegati a me". 


DATA = è quello che ci interessa: 
sono gli IV che Aircrack utilizzerà 
per trovare la password WEP. 


ENC = il tipo di incapsulamento: 
WEP, WPA, OPEN... 


Premete su Start, Connetti 
a, Connessioni di rete 
senza fili, Visualizza reti 
senza fili disponibili. Se 
l’SSID è abilitato, questo vi 
appare nella finestra delle 
connessioni disponibili. 
Fate doppio clic sull’icona 
della connessione ed 
inserite la password 
che avete trovato in 
precedenza: missione 
compiuta. 


ESSID = Il nome della rete 
Wireless. L’SSID è una sorta di 
identificativo della rete. Se ad 
esempio l’Access Point ha come 
SSID il nome “pippo” allora le 
schede wireless che si vogliono 
connettere devono impostare a 
loro volta come SSID “pippo”. 
Nella seconda parte 
dell’immagine, sopra, vediamo 
i vari Client che stanno 
“dialogando” con l’Access 
Point”, più esattamente vediamo 
i vari indirizzi MAC dei Client. 
Quest’informazione può 
risultare utile in seguito 
quindi bisogna ricordarsi 
tutto. Ciò significa che 
anche se possediamo A 

la chiave WEP ^ 

non possiamo 
accedere 
all’Access 
Point a meno 
che l’indirizzo 
MAC del 
nostro 

adattatore ^ 

di rete non sia 

stato impostato nel s 


Scrivendo “Aircrack- 
ng" nel prompt vi 
verrà mostrata la 
lista dei parametri 
che è possibile 
utilizzare. Per 
esempio, se 
abbiamo scaricato 
intorno ai 400.000 IV, 
in genere sufficienti 
per scovare una 
chiave WEP da 40 
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ulatore iPhone 


Massimiliano Rinaldi 
redazione@hackerjoi 


Continue Your iPad App 
Development With 
iPhone SDK 3.2 beta 4 


Il nudvd Software 


PER PROGRAMMARE 

APP LI GAZ ID NI IPAD È 


PROGRAMMARE 


ognate di diventare ricchi con 
un’applicazione? A qualcuno 
è successo sviluppando 
per iPhone, specie all’Inizio, 
ora il nuovo iPad potrebbe proporre 
opportunità non indifferenti ai nuovi, 
“vecchi" sviluppatori. 

Nuovi perché si apre un mercato per 
tutti coloro che vogliono cominciare a 
sviluppare col Software Development 
Kit proprio su iPad, vecchi perché gli 
stormenti di sviluppo sono assai simili 
a quelli che molti utenti utilizzano già 
per sviluppare applicazioni per iPhone. 
Sul sito Apple Developer Connection, 
nella sezione iPhone Dev Center è 
stato reso disponibile il nuovo kit di 
sviluppo, Software Development Kit 
(più brevemente SDK), che supporta 
anche la creazione delle applicazioni 


ricompilarli. 

La versione di SDK che consente di 
creare applicazioni per i Pad è la 3.2. 
L’xCode non presenta grandi 
cambiamenti, se non per il fatto 
che esiste una nuova tipologia di 
applicazioni per adattare i progetti 
all’iPad, ovvero Split View-Based 
Application. 

Anche Interface Building (il 
programma integrato per creare 
l'interfaccia grafica) si è adeguato al 
nuovo dispositivo e consente di creare 
interfacce ex-novo per iPad, oppure 
di migrare le interfacce già create per 
iPhone su iPad con il comando 
Interface Building, File>Transition 
To>Transition to iPad. 

Stesso discorso per il simulatore che 
ora consente di simulare, avendo cura 


iPhone possono essere importati su 
iPad e fatti girare in versione nativa, 
quindi con l'ampiezza di display 
deH'iPhone, oppure adattati a tutto 
schermo. In questo caso, però, se 
l’impostazione grafica prevedeva 
un supporto di dimensioni inferiori 
(il display deH’iPhone appunto) 
alcune immagini potrebbero essere 
visualizzate in modo non ottimale. 
Per il resto tutto quello che si trovava 
nella versione SDK 3.1.2, è presente 
anche nella 3.2.1 vecchi progetti 
già compilati per iPhone vengono 
tranquillamente supportati e gli 
strumenti sono, in gran parte, già ben 
noti al pubblico di sviluppatori. 


per iPad e la transizione dei progetti 
per iPhone, quindi dei codici sorgente, 
verso iPad con la possibilità di 


anche su iPad oltre che iPhone. 

I vecchi progetti già sviluppati su 
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FREE SOFTWARE 

Software libero, utopie 


E CONTRADDIZIONI. TUTTO 
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pensiero di Richard 
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DEL SOFTWARE LIBERO E 
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Q ualcuno si potrebbe chiedere cosa ci fa 
Richard Stallman in una rivista dedicata 
alla sicurezza e alla programmazione. Ci 
sta. Lo posso dire con la stessa fermezza 
con cui affermo che il software libero, 
badate Pene libero e non open source come ci tiene a 
puntualizzare lo stesso Stallman, presenta non pochi 
punti di congruenza con la cultura hacker. 

C’è la voglia di conoscere, diffondere e rendere 
accessibile a tutti il software che è ormai alla base 
del nostro lavoro, della nostra organizzazione sociale 
e, perché no, della nostra vita, senza restrizioni o 
politiche di distribuzione che tendono a privilegiare 
pochi a discapito di molti. 

Stallman è un'icona. Un istrione che gira il mondo per 
diffondere la propria filosofia. E' quanto di più simile 
si possa accostare ad un profeta. Un profeta della 
cultura informatica ma anche del libero pensiero. 

Ho incontrato Stallman diverse volte, durante le sue 
conferenze che ha tenuto e tiene ad intervalli regolari 
anche nel nostro paese. 

Ho scelto di proporvi una delle ultime a cui ho 
partecipato. Rappresenta in modo incisivo lo Stallman 
pensiero ed è un contributo importante alla libertà 
intesa in senso lato. 


LA CONFERENZA 


E’ un Febbraio di qualche anno fa, ma potrebbe 
essere oggi. Il “verbo” di Stallman non è cambiato, lui 
professa la sua filosofia con la stessa determinazione 
(cocciutaggine?) di sempre. Le sue idee sono 
permeate da una coerenza che trova pochi riscontri. 
Ma torniamo alla conferenza. Richard Stallman ha lo 
stesso look di altre sue apparaizioni, stesso sguardo 
attento e curioso, stessa padronanza del pulpito, 
segno che il suo “show” è ormai piuttosto rodato e 
va in scena, replica dopo replica, in modo pressoché 
perfetto. La curiosità si sposta quindi di dovere sui 
contenuti. 

Ovvia la domanda: come può il concetto di free 
software coniugarsi, in generale, con quello di etica 
e trovare campi di applicazione diversi rispetto a 
quello puro e semplice del codice binario proprio 
dell’informatica? 

Ci pensa Stallman a chiarirci le idee. 

“Il concetto di libertà e di collaborazione 
rappresentano un momento irrinunciabile nella 
vita di ciascuno di noi. La libertà rappresenta un 
bene essenziale e sulla libertà si fonda l'esperienza 
collaborativa che rappresenta il perno del software 
libero ma non solo... 

Se la libertà è un valore assoluto non può che trovare 
riscontri applicativi anche in altri settori, questo ci lega 
ad un discorso di etica della libertà”. 


FREE SOFTWARE 


“Vorrei tuttavia ricondurre la vostra attenzione sul 
concetto cardine del software libero. Perché il software 
deve essere libero? Perché non accettare le logiche 
spesso più comode del software proprietario? 

Il discorso è semplice, perché se si insegue un’etica 
fondata sul valore della libertà, l’unico modo per essere 
corerenti con tale pensiero è quello di rivolgersi al 
software libero: è l’unica strada percorribile. Molti usano 
software proprietario, ne fanno copie anche se ciò non 
è legale, si tratta di un atteggiamento poco etico e non 
consentito. Nessuno è libero di fare e distribuire copie di 
un programma proprietario a meno che il programma non 
sia Windows XP e quella persona sia Bill Gates. (risata in 
sala). 

Certo un vostro amico potrebbe supplicarvi di fargli una 
copia, è perfettamente comprensibile, si tratta di un 
amico in fondo, ma se utilizzate software proprietario 
l’unico modo che avete per non violare nessuna regola 
etica o giuridica e proprio quello di non avere amici. 

Se ci pensate questo concetto paradossale è alla base 
della distinzione tra software proprietario e software 
libero. 

Il free software favorisce rapporti collaborativi: io 
sviluppo un programma, lo distribuisco ai miei amici, 
loro apportano, se lo desiderano, delle modifiche, e lo 
ridistribuiscono sempre in modo libero, senza applicare 
restrizioni. Questa babele di collaborazioni e di interazioni 
rappresenta un substrato importante su cui il software 
cresce. 

Migliora nel tempo la qualità del software medesimo 
e vengono rimossi via via tutti i bug, ovvero i 
malfunzionamenti, per merito di una comunità attenta che 
vive da protagonista le fasi di sviluppo. 

Per questo si può tranquillamente affermare che la 
scelta del software libero è una scelta sicura: il software 
libero fa esattamente quello che noi vogliamo che 
faccia, è trasparente, non ci sono elementi introdotti da 
multinazionali per spiare i nostri comportamenti 
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Il discorso toma, come sempre, sulle caratteristiche 
“malevole” dei software. 

Stallman sta preparando il solito attacco teatrale 
aT’nemico” di sempre, lo fa versandosi una tazza di thè, e 
mentre fissa con apparente noncuranza il piccolo filtro di 
tela immerso nell’acqua bollente si lascia sfuggire divertito 
una sigla nota a tutti. 

“Windows XP (pausa studiata a tavolino e risata collettiva 
del pubblico), ad esempio, rappresenta uno strumento 
perfetto per spiare le abitudini dell'utente, attraverso di 
esso vengono istallati sul PC una quantità di applicativi 
che ci spiano, monitorano le nostre attività, fanno dei 
report dettagliati a Microsoft che usa questi report per 
capire i nostri gusti, le nostre preferenze, per venderci altro 
software proprietario... 

Dei nomi? Windows Media Player, ad esempio, 
rappresenta uno strumento perfetto per monitorare le 
nostre preferenze in termini di visione di film e video. 

Ma gli esempi si sprecano. 

Inoltre, per poterci spiare questi programmi installano 
spyware che aprono delle backdoor nei nostri PC, ovvero 
delle porta aperte in cui possono pericolosamente infiltrarsi 
pirati telematici. Insomma mettono a grave repentaglio la 
sicurezza del PC. 

Un altro problema dei programmi commerciali è la 
presenza pressoché costante di bug che vengono risolti in 
modo lento e graduale. Il programma esce con dei difetti 
che vengono faticosamente corretti dagli sviluppatori 
impiegando molto tempo e così esce una nuova release 
con nuovi problemi: un circolo vizioso. 

Ricorrere al software libero significa anche affrancarsi da 
questa schiavitù. Se l’utente scopre un problema, può 
rivolgersi alla comunità di utenti che usano e sviluppano 
quel software per cercare di risolvere il problema, il tutto 
in modo collettivo e più veloce di quanto non avvenga 
attraverso i report ai singoli programmatori che impiegano 
due mesi a sanare un bug e poi vi dicono ‘Va bene ora 
qual è il prossimo'. L’attività di test collaborativa risulta 
senz’altro più efficace.” 

Piccola nota a margine sarebbe interessante chiedere 
a Stallman se l’esperienza collaborativa ha una natura 
gerarchica o allargata e pluralista Ma non c'è tempo per 
farlo anche se i più attenti tra voi avranno letto tra le righe 
il richiamo più che evidente alle teorie di Raymond ne “La 
Cattedrale e il Bazaar". 

Ma torniamo al buon Stallman, 

LE LIBERTÀ FONDAMENTALI 

“Quindi abbracciare il software libero significa non essere 
più prigionieri di una tecnologia, non dipendere in modo 
diretto dalle decisioni e dallo sviluppo di un ristretto cerchio 
di persone." 

“Per esser libero un software deve rispettare le libertà 
fondamentali: 

l’utente ha la libertà di eseguire il programma per qualsiasi 
scopo; 



Richard Matthew Stallman è fondatore della Free 
Software Foundation, ideatore del progetto GNU e 
programmatore di primo piano. 


l’utente ha la libertà di modificare il programma secondo 
i propri bisogni: perché questa libertà abbia qualche 
effetto in pratica, è necessario avere accesso al codice 
sorgente del programma, poiché apportare modifiche 
ad un programma senza disporre del codice sorgente è 
estremamente difficile; 

l’utente ha la libertà di distribuire copie del programma, 
gratuitamente o dietro compenso; 
l’utente ha la libertà di distribuire versioni modificate 
del programma, così che la comunità possa fruire dei 
miglioramenti apportati. 

Quindi io posso modificare un programma con licenza 
GNU e ridistribuirlo, ma non applicandovi una licenza che 
sia più restrittiva o, peggio, di natura commerciale. 

Tutto questo trova una perfetta coerenza di intenti proprio 
nel fondamento di GNU.” 

Ma il discorso delle licenze è piuttosto complesso come 
suggerisce lo stesso Stallman. 

“Attenzione non tutte le licenze sono rispettose delle libertà 
fondamentali che sono alla base del software libero. Lo è la 
FDL coniata proprio dalla free software foundation, ovvero 
la Free Documentation License, oppure la GPL, la licenza 
d’uso libero più diffusa che è alla base della stragrande 
maggioranza dei programmi basati su GNU. 

Entrambe sono persistenti, nel senso che non possono 
essere modificate e garantiscono il “permesso d’autore” o 
copyleft, una riscrittura del copyright che invece di limitare 
le libertà dell’utente nell’uso dell’opera concede ad esso 
una maggiore libertà d'uso.” 


UNA “FERITA” APERTA 

Giuro, per davvero, che non so cosa pensi realmente 
Stallman di Linus Torvalds. Di fatto tra i due c’è un rapporto 
di grande stima, lo stesso Stallman elogia il lavoro svolto 
da Torvalds ma ci tiene a precisare alcune “cosette” e 
comunque, quale che sia il punto di partenza del suo lungo 
discorso, uno dei punti di arrivo è sempre quello: Linux. 
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“Linux all’inizio, si parla del 1991, non era libero lo è diventato 
nel 1992 adottando la licenza GPL, in precedenza il codice 
veniva liberamente distribuito, ma era esplicitamente vietato 
ottenere un qualsiasi ritorno economico dalla sua diffusione, 
incluso un eventuale rimborso. Ma quando si parla di Linux 
sarebbe più corretto parlare, in termini generali, di sistema 
GNU/Linux. GNU è alla base di Linux. In realtà Torvalds ci 
ha in un certo senso bruciati sul tempo ideando un sistema 
operativo funzionate basato su librerie GNU e da altri elementi 
già pronti che dovevano solo confluire in un sistema operativo 
vero e proprio. C'era solo da portare a compimento un lavoro 
partito molto da lontano, ma i tempi di sviluppo si sono 
allungati per mille ragioni e Torvalds è arrivato prima. Non 
critico il lavoro di Torvalds, anzi, Linux è un ottimo prodotto, 
vorrei tuttavia che fosse riconosciuto in modo più marcato 
l’apporto dell’esperienza legata a GNU che, per chi non lo 
sapesse, è un acronimo ricorsivo che sta per “Gnu is not 
Unix”. 


FINALE PIROTECNICO 


scontato. 

La libertà, in fondo, è l’unica cosa di cui abbiamo veramente 
bisogno...” 

Stretta al cuore, voglia di emulare la carica dei cavalieri di 
Rohan ne “Il Signore degli Anelli” contro le orde malefiche di 
“Gates” e la sua schiera di sistemi operativi nemici del genere 
umano. Ma passa quasi subito... 

Vale la pena di rimarcare come anche questa volta Stallman 
abbia sottolineato, a proposito di libertà, il paradosso 
americano dove è proibito usare software liberi per vedere 
DVD ma solo software proprietari che supportano il DRM 
(Digital Rights Management), un sistema di protezione, 
o, come afferma Stallam a proposito della privacy violata 
dell’utente: Digital “Recognition” Management. Quindi se uno 
vuole rimanere fedele all’etica del software libero e utilizza un 
sistema GNU/Linux ha un unico modo per fario: non vedere i 
DVD, cosa che peraltro Stallman ha ammesso di fare. 

Si tratta di una visione un po' integralista: se si usa un sistema 
con licenza libera tipo GPL, si devono usare programmi liberi 
con licenza GPL Una prova di fede davvero... 


Dopo aver parlato di Linux, Stallman interrompe il suo 
discorso. Afferra una busta di plastica e con tono incerto, 
rivolgendosi più a se stesso che al pubblico, dice: “Bene ora 
vi mostrerò un altro aspetto della mia personalità..." 

Ci siamo, penso, ora si traveste da Zorro o, magari, da 
Superman con la faccia di Bill Gates sormontata da una 
segnale di divieto di accesso stampigliata sul petto. 

Nulla di tutto questo. Colpa mia che mi sono perso gran 
parte degli show di Stallman in Italia e non ho rammentato 
le numerose foto in internet che lo raffigurano come... il 
paladino della GPL 

Stallman sorridendo indossa quella che ora appare come 
una tunica nera e poi un curioso copricapo a forma di 33 giri 
colore oro che simboleggia una specie di aureola. 

Il paladino della free software 


CONCLUDENDO... 


E' tempo di qualche domanda II momento giusto per 
sottolineare una certa suscettibilità di Stallman che 
incenerisce con lo sguardo un presente che nella domanda 
confonde Open Source con Free Software e subito 
dopo rimarca “io parlo di Free software...” . A chiudere 
un messaggio di speranza trasversale a chi gli chiede 
se il fondamento etico del free software può trovare 
un’applicazione in altri campi della produzione industriale 
diversi da quello del software. La riposta naturalmente non 
può che essere affermativa, un perfetto prologo ad un 
incontro nato in nome dell'etica universale e concluso nello 
stesso segno. 




foundation è pronto... e si 
mette in posa per i fotografi. 
A dimostrazione, se mai ce 
ne fosse stato bisogno, che 
le conferenze di Stallman 
sono sempre più uno 
spettacolo ben rodato e 
accattivante. 

Si chiude con il monito di 
sempre, che tuttavia non 
manca di appassionare e di 
infiammare i cuori. 

“Per appoggiare la causa 
del software libero non 
basta usare Linux, bisogna 
battersi perché la libertà, 
anche quella del software, 
sia rispettata sempre, giorno 
dopo giorno. Deve essere 
una battaglia collettiva 
per affermare un principio 
fondamentale che non 
deve mai essere dato per 


BVIACS 


La storia 
del free software 
(software libero e non 
gratuito) inizia nel 1985, 
quando negli Stati Uniti 
Richard M. Stallman 
pubblica il manifesto 
Gnu, al termine di 
un lungo percorso di 
riflessione iniziato negli 
anni ‘70. In quell’epoca 
Stallman, l’ultimo 
custode dell’etica 
hacker sviluppata al MIT 
(Massachusetts Institute 
of Technology), storico 
centro universitario 
americano, incubatrice 


di molti importanti 
progetti legati a 
Internet, utilizza i 
principi assimilati nei 
suoi anni di permanenza 
all’la Lab, il laboratorio 
di intelligenza artificiale, 
come linee guida 
per la sua opera 
più conosciuta, un 
programma di editing 
chiamato Emacs che 
permette agli utenti 
di personalizzarlo 
senza limite: la sua 
architettura aperta 
incoraggia le persone 
ad aggiungervi nuove 
funzioni e a migliorarlo 


senza sosta. 

Stallman distribuisce 
gratis il programma 
a chiunque accetti la 
sua unica condizione: 
rendere disponibili tutte 
le estensioni apportate, 
in modo da collaborare 
al miglioramento di 
Emacs, che diviene 
quasi subito l’editor 
di testi standard nei 
dipartimenti universitari 
di informatica. 
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redazione@hackerjournal.it 


Nell'agosto del 2008 Microsoft ha rilasciato un nuovo file System 
denominato exFAT che è stato successivamente scelto dalla SD 
Association come formattazione predefinita per le nuove memorie 
SDXC. L'idea della casa di Redmond era quella di sostituire l’ormai 
obsoleto FAT32 (che è tuttora scelto, ad esempio, come formatta¬ 
zione standard dei nuovi hard-disk) e poter gestire in maniera più 
flessibile le memorie a stato solido utilizzate in particolare nei siste¬ 
mi embedded. Stranamente exFAT non ha suscitato molto clamore, 
probabilmente perché non è noto che presenti molti vantaggi sia 
rispetto a FAT32 che a NTFS e che sia utilizzabile oltre che con i si¬ 
stemi 


NUMEROSI 


embedded anche con desktop 


exFAT somiglia molto alla FAT32, tanto da essere soprannominato 
FAT64, ma ha alcune differenze fondamentali: 

- la struttura del Master Boot Record (MBR) non è compatibile con i 
precedenti FATI 2/FAT16/FAT32; 

- c’è soltanto una copia della FAT (precedentemente erano due) 
viene creata una mappa (cluster bitmap) per un'allocazione più 
rapida dei file; 

- è presente un flag di contiguità (frammentazione) per ogni singolo 
file, per rendere l’accesso più rapido; 

- è stata migliorata l'archiviazione contigua dei file, utile soprattutto 
con applicazioni multimediali come le registrazioni video; 

- è stato introdotto il supporto al formato UTC (universal time code) 
già presente nei sistemi Unix; 

- è cambiato il formato degli elementi della singola directory, con 
l’introduzione di nuove tabelle di meta-dati; inoltre sia la FAT che i 
cluster bitmap sono dei file. 
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Grazie a questi elementi, i vantaggi principali riguarda¬ 
no la possibilità di gestire file più grandi di 4GB (limite 
imposto per la FAT32) e si parla di un limite teorico di 64 
zebibyte (ossia 64 x 2 A 70 byte) per la partizione; inoltre 
le prestazioni aumentano perché si possono gestire un 
maggior numero di cluster e una ricerca più rapida di 
cluster liberi durante le operazioni di scrittura. Non è 
poi da trascurare il fatto che si tratta di un file System 
comunque abbastanza semplice come struttura che 
potrebbe essere implementato anche per il DOS. 


IH 


« H 


ffl 

li 

LI 

ff 


Le memorie SDXC trovano 
applicazione in tutti i sistemi 
embedded più diffusi, inclusi 
cellulari, mp3 player, fotoca¬ 
mere, personal video recorder. 

Possono essere archiviati fino a 1000 file per ogni direc¬ 
tory e viene supportato il Transaction-Safe Extended FAT 
(TFAT), un sistema di controllo di integrità dei dati svilup¬ 
pato appositamente per memorie non rimovibili flash di 
tipo NAND e NOR e introdotto sempre con Windows CE 


6.0. 




+ sn h: 









+ 54 H: 

- +58 H: 


SISTEMI CHE SUPPORTANO EXFAT ber 

Ufficialmente Microsoft ha presentato exFAT con il 
lancio del primo Service pack per Vista, ma in realtà lo 
aveva già introdotto con WinCE 6.0 che lo supporta 
nativamente. + 6 : dword 

Su Vista occorre quindi aver installato questa mega¬ 
patch per averlo, ma solo con il Service pack 2 si ag¬ 
giunge anche il supporto per UTC. Permane la mancan- byte cius 

za della gestione di controllo degli accessi (ACL). 

Al contrario, Windows 7 lo supporta nativamente (così 
come Windows Server 2008) e supera le limitazioni 
che ha comunque Vista nella gestione del ReadyBoost 
(una funzionalità che permette di usare un device for- Con l’algoritmo £ 
mattato con exFAT come una cache ad alte prestazioni, l’integrità delle d 
cumulando il suo spazio con la memoria di sistema). un file (vedi STR, 

Su XP è possibile averlo a patto di avere installato alme¬ 
no il Service pack 2 e aggiungere una patch (vedi sup- STRAPPO #1 : 
port.microsoft.com/kb/955704) con la quale il supporto word Calcchec 
diventa nativo al pari degli altri, i ( 


REVERSE ENGINEERING 

Microsoft si è guardata bene dal rilasciare le specifiche 
del suo nuovo filesystem, che licenzia a caro prezzo a 
terzi (si parla di 300mila dollari per contratto). Dato l’inte¬ 
resse del mercato per Linux, ha stretto però un accordo 
con l’azienda open source Tuxera per sviluppare driver a 
pagamento per il pinguino, ovviamente closed source. 

In casi simili a questo (basti pensare ai player DVD) que¬ 
ste scelte commerciali sono controproducenti e stimola¬ 
no piuttosto che inibire la volontà di molte persone che 
non vogliono sottostarvi. 

Così, non accontentandosi delle sole informazioni e 
supporti ufficiali, alcuni hacker cinesi hanno effettuato 
delle analisi di basso livello, scoprendo alcune cose 
interessanti e i mattoni di base del funzionamento del 
filesystem. Ad esempio, che la dimensione della root è 
dinamica, mentre nei precedenti filesystem era statica; 
così come è scalabile la struttura delle directory. Hanno 
dissezionato il filesystem con tecniche di analisi forense 
stabilendo con una certa sicurezza sia l’organizzazione 
dei dati che gli algoritmi di base. 

Nel BOX #1 si può vedere come si pensa sia la nuova 
organizzazione del settore zero che evidenzia Pindirizza- 
mento a 64-bit (QWORD all’offset 48h). 

BOX #1 Struttura del settore zero di un filesystem exFAT 

+00 H: BYTE [3] jump instruction 
+03 H: BYTE [8] OEM name ( "EXFAT"), 

+0 Bh: BPB32 (OOh) 

+40 H: DWORD??? (78h) 

+44 H: DWORD??? (OOh) 

+48 H: QWORD number of sectors of thè volu- 


VT^ectoir number start 
VT^fiumber of sectors 
:arl thè cluster sector 

dIurU of thè number of c 

kart cluster number root 


Q 


+1 Feh: WORD Signature (AA55h 


Con l’algoritmo alla base del checksum viene verificata 
l’integrità delle directory (vedi STRAPPO #1) e l’hash di 
un file (vedi STRAPPO #2). 

I 

STRAPPO #1 : 

WORD CalcChecksum (LPCBYTE*entry) 





chk = 
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for (i = 0; i <len 

if « 2 | | 

continue; 
chk = (WORD) ( 
(chk» 1) ) + entry ) ; 


Le funzionalità di exFAT non sono paragonabili a quelle 
di un filesystem con journaling come NTFS e perman¬ 
gono alcune limitazioni sia nei sistemi Microsoft, che le 
supportano in modi diversi, che chiaramente in quelli 
open source. Tuttavia, dato il basso carico di lavoro 
richiesto al processore per gestire un filesystem format¬ 
tato exFAT (al contrario di quanto è richiesto da NTFS) è 
possibile avere aumenti di prestazioni su sia su peri¬ 
feriche embedded, che su sistemi non nuovissimi che 
girino ancora con XP (e ce ne sono molti). Il vantaggio 
principale rispetto a FAT32 resta la possibilità di gestire 
periferiche molto grandi come hard-disk di qualche Te- 
rabyte, rimanendo con una struttura abbastanza agile e 
più prestante sia in fase di scrittura che in fase di lettura. 
Non si parla ovviamente di un sistema affidabile (è pur 
sempre un sistema FAT), ma nel caso in cui più che 
della ridondanza ci interessa aumentare le prestazioni di 
accesso o gestire agilmente dimensioni elevate, exFAT 
può essere una scelta valida. Se invece ci interessa 
avere maggior sicurezza sui dati, per i sistemi Windows 
la scelta obbligata resta NTFS. 


STRAPPO #2: 

WORD CalcFileNameHash (LPCWS' 


WORD chk = 0 
int len, i; 


Xen = lstrlenW (Alenarne);' 
for (i = 0; i <len; i + + 
WCHAR C = (WCHAR) Cha. 
((LPWSTR) Alenarne ); 

chk = (WORD) (((chk < 
(chk>> 1)) + LOBYTE (c)); 

chk = (WORD) (((chk < 
(chk>> 1)) + HIBYTE (c)); 


Partendo da questi hack iniziali pochi giorni 
dopo il rilascio di exFAT gli sviluppatori 
del kernel si erano già messi al lavoro per 
supportare su linux il nuovo filesystem. 
Grazie al contributo dello sviluppatore 
Ogawa Hirofumi, è stato fornito ini¬ 
zialmente un accesso in sola lettura 
(come venne fatto con NTFS) che 
non ha purtroppo avuto successivi 
aggiornamenti. Da agosto 2009 è 
partito invece un nuovo progetto 
di Andrew Nayenko raggiungi¬ 
bile aH'indirizzo code.google. 
com/p/exfat, che è classificato 
attualmente come beta e viene 
sviluppato con una certa vitalità. 

L’obiettivo è quello di svilup¬ 
pare un modulo stabile di tipo 
FUSE supportato da tutte le 
recenti distribuzioni linux, ol¬ 
tre che da Mac OS X. Certo 
è che con questo modulo 
si può avere accesso al 
filesystem exFAT da linux. 
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SERVER 


Very €ecure FTP Daemdn 
^ E UN SERVER FTP TRA I PIÙ 
SICURI IN CIRC□ LAZIONE, 
SCOPRIAMONE I PREGI. 


sFTPd è un server ftp scritto con un occhio di 
riguardo per la sicurezza, rispetto ai suoi fratelli 
maggiori risulta più snello, semplice da configurare e 
con molte opzioni utili. Tutti fattori che hanno portato 
questo demone su server importanti come kernel, 
org (sostituendo il piu' famoso ProFTPd), kde.org, gnu.org, 
redhat.com etc... In particolar modo l'aspetto della sicurezza è 
stato raggiunto grazie ad un'accurata fase di design, all’uso dei 
chroot ove possibile, alle capabilities e al ridottissimo utilizzo 
dei privilegi di root, con routine particolarmente compatte per 
ridurre al minimo la possibilità di bug. 


IL PROGRAMMA 



Per prima cosa procuriamoci una copia del programma 
scaricandola da ftp://vsftpd.beasts.org/users/cevans/ (o 
dalla sezione download della rivista) quindi unzippiamola e 
compiliamola Ho utilizzato la release 2.0.1, ma nel momento in 
cui scrivo è disponibile anche la 2.2.2. 

# tar xzf vsftpd-2.0.1.tar.gz 

# cd vsftpd-2.0.1 

# make 

Se tutto è andato bene, dopo qualche secondo avremo un file 
chiamato vsftpd di circa 90kb: 

# ls -1 vsftpd -» 

-ruxr-xr-x 1 root root 90656 Aug 30 16:40 -» 
vsftpd 

Il server ha bisogno dell’utente nobody (tutte le operazioni non 
privilegiate le farà con questo user), di default dovrebbe già 
essere presente su tutte le distribuzioni, controlliamo che ci sia 
o aggiungiamolo in caso contrario: 


% 
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# grep nobody /etc/passwd -> 

nobody :x:65534:65534 :nobody:/:/bin/false 

Nel caso non fosse presente basterebbe fare: 

# u seradd -s /bin/false nobody 

Vsftpd ha anche bisogno della directory /usr/share/empty, 
quindi creiamola: 

# mkdir /usr/share/empty 

Questa parte è molto importante, se pensate di dare 
accesso anonimo al vostro server, allora dovrete creare 
l’utente ftp, altrimenti potete saltare questa fase: 

# useradd -s /bin/false -d /home/ftp ftp 

Con questo comando creiamo un utente che ha come 
login “ftp”, la cui home si trova in /home/ftp al quale 
però viene preclusa la facoltà di loggarsi sul sistema (ad 
esempio tramite ssh o telnet) questo perché come shell ha 
/bin/false. E' importante che la home directory dell’utente 
ftp non sia scrivibile dall’utente stesso, e risolviamo 
semplicemente cambiando l'owner e il gruppo della 
directory: 

# chown root:root /home/ftp 

# chmod 755 /home/ftp 

La sua home appartiene ora al root, ed è scrivibile solo dal 
root stesso. 

Fatto ciò siamo pronti ad installare il nostro server ftp sul 
sistema, perciò basta digitare: 

# make instali 

Vsftpd è ora pronto a partire (lo troverete in /usr/sbin/ 
vsftpd o /usr/local/sbin/vsftpd). 

Prima di configurarlo dobbiamo scegliere se far girare il 
nuovo server tramite inetd/xinetd oppure farlo girare in 
standalone mode. 

La differenza risiede nel fatto che utilizzandolo in 
standalone mode, dovremo avviarlo quando la nostra 
macchina fa il boot, poi il programma resterà in ascolto 
per le richieste ftp. Utilizzando inetd/xinet il server vena 
avviato soltanto quando qualcuno fa esplicita richiesta di 
connessione alla porta ftp. A voi la scelta che più risulta 
comoda. 

Se avete scelto di usarlo in standalone mode allora potete 
saltare la prossima lezione, altrimenti... 

INETD E XINETD 

Se utilizzate inetd non dovrete far altro che aprire /etc/ 
inetd.conf ed aggiungere: 


ftp stream tcp nowait root /usr/sbin/tcpd /usr/sbin/vsftpd / 
etc/vsftpd.conf 

al posto della riga che avviava il vostro vecchio server ftp 
(o aggiungetela semplicemente se non avevate un server 
ftp). In questo modo inetd saprà che alla richiesta di una 
connessione FTP dovrà aprire vsftpd. 

Se invece utilizzate xinetd potete semplicemente creare 
un file chiamato vsftpd nella directory dove risiedono i 
file di configurazione dei servizi di xinetd (in genere /etc/ 
xinetd.d/) ed inserirci: 

Service ftp 
{ 

socket_type = stream 

wait = no 

user = root 

server = /usr/sbin/vsftpd 

server _args = /etc/vsftpd.conf 

log_on_success += DURATION USERID 

log_on_failure += USERID 

nice =10 

disable = no 

} 

La configurazione è simile a quella dell'inetd tranne per il 
fatto che specifichiamo con “nice" la priorità con cui far 
girare il server (-20 è la priorità più alta, 19 è la più bassa) 
e in più chiediamo a xinetd di loggare ogni richiesta di 
connessione al server. 

Se in futuro voleste disabilitare il server (perché ad 
esempio lo state aggiornando) settate “disable” a “yes” e 
poi reimpostatelo a “no” non appena sarete pronti a farlo 
tornare online. 

In entrambi i casi ricordate di inserire il path corretto in cui 
si trova il demone, e soprattutto: ravviate inetd/xinetd con 
questo comando: 

# killall —HUP 'pidof inetd' 

Oppure: 

# killall -HUP 'pidof xinetd' 

Diciamo così a inetd/xinetd di rileggere il file di 
configurazione per tener conto degli ultimi cambiamenti 
nella configurazione. 

CONFIGURARE IL SERVER 

Passiamo ora al server ftp, il file di configurazione può 
chiamarsi come vogliamo, e lo possiamo mettere dove più 
ci è comodo, partiamo con un file vuoto di nome vsftpd. 
conf in /etc: 

# cd /etc 
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# touch vsftpd.conf 

Editiamo il file appena creato aggiungendo le seguenti 
opzioni, una per riga: 

background=YES 

in questo modo il server si metterà automaticamente in 
modalità demone e ritornerà il controllo alla shell. 

listen=YES 

□sten possiamo settario a NO se utilizziamo inetd/xinetd, 
altrimenti lo setteremo a YES, così, una volta avviato, si 
metterà da solo in ascolto sulla porta ftp. 

anonymous enahle=YES 

Questa opzione è importante, mettendola a YES consentiamo 
l’accesso anonimo all'ftp, mettendola a NO, ovviamente, la 
disabilitiamo. Se il vostro sarà un ftp pubblico potrete tenerla 
a YES, altrimenti vi consiglio caldamente di disabilitarla. 

local_enahle=YES 

local_enable indica al server se consentire o meno l’accesso 
agli utenti locali, tenendolo a YES tutti gli utenti con una shell 
valida, presenti in /etc/passwd, saranno in grado di fare il 
login sull’ftp, in caso contrario non gli sarà consentito di usare 


write_enahle=YES 

wrte_enable impostato a YES abilita i seguenti comandi: 
STOR, DELE, RNFR, RNTO, MKD, RMD, APPE, SITE. Se 
pensate di fare un server ftp in sola lettura (dal quale gli utenti 
possono solo scaricare) allora settatelo a NO, altrimenti 
potete metterlo a YES. 

local_umask=022 

la umask sono i permessi di default con cui vengono creati i 
file nella directory del server, quella di default di vsftpd è un 
po’ restrittiva (tutti i file vengono creati con i permessi 700) 
settandola a 022 i file vengono creati con i permessi 755, cioè 
scrivibili e leggibili dal proprietario, leggibili dal gruppo e da 
tutti gli altri. 

anon tipi oad_ enahl e =NO 

settando a NO questa opzione (valida solo se abbiamo 
abilitato il login anonimo), non consentiamo agli utenti anonimi 
di mandare file sul nostro server, se desiderate settaria a YES 
ricordate di creare all’intemo di /home/ftp una directory (ad 
esempio /home/ftp/incoming) scrivibile dall’user ftp. 

anon mkdir write enable=NO 
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evitiamo che gli utenti anonimi creino delle directory, se avete 
particolare fiducia potete anche settaria a YES. 

di rmessage _enable=YES 

dirmessage_enable è un’opzione puramente estetica, 
abilitandola gli utenti riceveranno un messaggio se nella 
directory in cui stanno accedendo è presente il file .message 
con dentro scritto qualcosa (potete ad esempio inserire un 
.message nella directory incoming, con scritto qualcosa tipo: 
“In questa directory sono consentiti solo gli upload", oppure 
potete inserire una breve descrizione delle directory se 
avete intenzione di fare un server contenente molte cartelle). 
Settatela a NO se non prevedete di usarla 

connect_ from port_20=YES 

questa opzione fa sì che il flusso di dati per il server abbia 
luogo dalla porta 20 (che è la porta ftp-data), in realtà 
possiamo disabilitarla (consentendo al server di utilizzare 
qualche privilegio in meno) ma qualche Client potrebbe 
lamentarsi nel vedere che i dati arrivano da una porta non¬ 
standard, credendo magari ad un tentativo di hijacking. Per 
motivi di compatibilità possiamo tenerla abilitata. 

xf eri og_ enahl e=YES 

xferlog fa sì che venga creato un log contenente tutti i file 
uploadati e scaricati dal server. Se prevedete un massiccio 
traffico sul server potete disabilitarla, anche se è una buona 
idea tener traccia di cosa succede sui nostri server. 

xferlog_std_format=YES 

in questo modo diciamo a vsftpd che vogliamo il log scritto 
con il formato standard xferlog, questa opzione risulta utile se 
utilizzate dei parser per i log che tracciano delle statistiche, se 
non ne fate uso e volete provare un formato nuovo settatela 
a NO. 

xferlog_file=/var/log/vsf tpd. log 

questo è il path in cui verrà creato il file di log, che in questo 
caso abbiamo chiamato vsftpd.log. 

idle__session_timeout=600 

questo parametro indica dopo quanto tempo di inattività 
l’utente viene disconnesso, se prevedete molti utenti allora 
potete abbassare il limite anche a 30-60 secondi piuttosto che 
a 600. 

data_connection_timeout=300 

questi, invece, sono i secondi che il server attenderà un flusso 
di dati prima di annullare la connessione. Data_connection_ 
timeout toma utile nel caso che un utente venga disconnesso 
dalla rete, per cause indipendenti da noi, durante l’upload o il 
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download di dati. 

nopriv__user=nobody 

dopo aver eseguito il bind sulla porta 
da noi scelta, il server ftp (per ovvi 
motivi di sicurezza) deve lasciare i 
privilegi dell’utente root e passarli 
a qualcun altro, con nopriv_user 
specifichiamo quale sarà l'utente dal 
quale verranno ereditati i privilegi, 
nobody è in genere l'utente con meno 
privilegi di tutto il sistema 

async_abor_enable=NO 

questa opzione fa sì che il server 
riconosca le richieste di ABOR 
(interruzione) asincrone, possiamo 
settaria a NO per motivi di sicurezza, 
anche se i Client più vecchi potrebbero 
risentirne. 

ascii_upload_enable=YES 

ascii download enable=YES 

queste due opzioni sono piuttosto 
delicate, indicano al server se 
consentire o meno gli upload o i 
download in modalità ASCII, potete 
settarie a NO se prevedete di non far 
mai trasferimenti di file ascii (vale a 
dire: file di testo). Settandole a YES 
risolvete il problema dei file ascii, con 
la consapevolezza che se un utente 
iniziasse a chiedere ripetutamente 
il SIZE di un file molto grande, 
consumerebbe gran parte delle vostre 
risorse causandovi un vero e proprio 
DoS. 

ftpd_ banner="Welcome to -i 
xyz" 

ftpd_banner è semplicemente 
il banner che apparirà in fase di 
connessione, settatelo come volete, 
evitando di scrivere il nome e la 
versione del vostro ftp server, in modo 
da rendere un tantino più difficile un 
eventuale attacco da parte di qualche 
utente, o peggio, da parte di qualche 
worm. 

chroot_local_user=YES 

chroot_list_enable=YES 

chroot_list_Rle=/etc/vsftpd. 


chroot_list 

le ultime tre opzioni sono molto 
importanti, la prima serve a dire se 
vogliamo chrootare gli utenti nelle 
rispettive home directory (in pratica 
agli utenti del sistema loggati sul 
vostro server, non sarà concesso 
di uscire dalla loro home directory 
durante la sessione ftp), settando 
la prima opzione a YES diciamo al 
demone che tutti gli utenti devono 
essere chrootati. La seconda opzione 
specifica che abbiamo una lista di 
utenti che NON vogliamo chrootare 
(supponiamo di avere un account 
amministrativo su un server remoto, 
sarebbe giusto chrootare gli utenti, ma 
noi stessi dovremmo poter gironzolare 
liberamente per il sistema). 

Il path di questa lista è specificato 
dalla terza opzione. 

Il file ovviamente va riempito con i 
nomi degli utenti che vogliamo lasciar 
liberi, uno per riga. 

Possiamo chiudere a questo punto il 
file di configurazione, le altre opzioni 
che vi mostro serviranno solo in 
particolari casi, ma visto che tornano 
comunque utili, ne farò una breve 
panoramica: 

max clients=x 

il numero massimo di connessioni 
accettato dal server. 

maxperip=x 

il numero massimo di connessioni che 
può stabilire un singolo IP. 
Pasv_max_port =x 
Pasv_min_port=x 
La porta più alta e più bassa che 
verranno utilizzate nelle connessioni 
passive (utilissima se il firewall vi 
concede solo un determinato range). 

local__max_ rate=x 

La massima velocità di trasferimento 
consentita ad ogni utente locale. 

Ssl_enable=Y/N 

Viene abilitato il trasferimento 
crittografato dei dati, logicamente 
dovete aver OpenSSL installato, e i 
Client devono essere predisposti per 
accettare connessioni SSL. 

No_anon password=Y/N 

Se settata a YES agli utenti anonimi 
non verrà chiesta la password ma solo 


il login. 

Ls_recurse_enable=Y/N 
Abilita o disabilita "Is -R" che può 
consumare molte risorse se il vostro 
server contiene molti dati. 

Downl oad _ enable=Y/N 

Se settato a NO agli utenti non sarà 
consentito di scaricare nulla dal vostro 
server. 

Listen_ipv6=Y/N 

Se abilitato il server riceverà soltanto 

connessioni ipv6 e non ipv4 

Menzione a parte fa fatta per 
un'opzione piuttosto particolare: 

hide_fìle . 

Grazie a questa opzione possiamo 
infatti nascondere uno o più file che 
rispondono ad un determinato pattern. 
Hidejile utilizza una parte delle regular 
expression per valutare se il file e' da 
nascondere o meno, un esempio che 
ci viene fornito dalla documentazione 
è: 

hide_Rla={*.mp3, . -» 
hidden, que*o, hide*, h?} 

se configurassimo il nostro ftp server 
in queste maniera, verrebbero nascosti 
(ma sarebbero comunque accessibili 
se un utente ne conoscesse l'esatto 
nome) i file: 

1. con estensione .mp3 

2. il cui nome sia .hidden 

3. che iniziano per “que” e finiscono in 
“o” (questo, quello, quequero) 

4. che iniziano con “hide” (hidefile, 
hidel, hideme, hideout) 

5. il cui nome sia composto da una “h” 
e da un carattere qualunque (hi, h2, 
h3, ha, hh, hQ...) 

Ora che il nostro file di configurazione 
è pronto possiamo avviare il server 
ftp. Ho scelto di utilizzare la modalità 
standalone, quindi per avviare il server 
basterà fare: 

# /usr/sbin/vsftpd /etc/ -> 
vsftpd.conf 

Ovvero il path del server seguito dal 
path del file di configurazione. 

Per verificare che tutto sia andato 
come prevedevamo digitiamo: 
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# ps aux / grep vsftpd 
root 6600 0.0 0.1 1868 

528 ? Ss Aug 30 0:00 

/usr/sbin/vsftpd /etc/vsftpd/ 
vsftpd.conf 

$ ftp localhost 
Connected to localhost. 

220 "Welcome to xyz FTP -> 
server. " 

Name (localhost: xyz): 

SSL not available 

331 Please specify thè -> 

password. 

Password: 

230 Login successfui. 

Remote System type is UNIX. 
Using binary mode to transfer -» 
files. 
ftp> ls 

200 PORT command success fui. -» 
Consider using PASV. 

Se avete scelto di utilizzare il server 
tramite inetd/xinetd vi basterà eseguire 
l'ultimo comando: “ftp localhost” (se 
siete in locale) oppure “ftp ip_del_ 
server” (nel caso il server si trovi su 
una macchina remota). Inetd/xinetd 
avvieranno il server per voi e vi verrà 
chiesto usemame e password. 

Provate anche a scaricare un file e poi 
aprire il log in /var/log/vsftpd.log per 
vedere se il sistema di logging funziona 
correttamente, dovreste ottenere 
qualcosa di simile a: 


# tali -n 3 /var/log/ -> 
vsftpd.log 

Mon Aug 30 01:07:24 2009 1 

192.168.1.45 80284 /home/ftp/ 
ia.zip b _ o r honeypot ftp 0 

* c 

Mon Aug 30 01:08:10 2009 6 

192.168.1.45 6911796 /home/ftp/ 
epr.pdf b _ o r honeypot ftp 0 

* c 

Mon Aug 30 01:09:42 2009 27 

192.168.1.45 137728 /home/ftp/ 
polansky.pdf b _ o r honeypot 
ftp 0 * c 

Il log va letto in questa maniera: il primo 
campo è il giorno della settimana, 
seguito dal mese e dal giorno (in forma 
numerica), l’ora e l’anno, Tip di chi ha 
fatto la richiesta di connessione, la 
dimensione in byte del file prelevato/ 
uploadato, il path assoluto del 
file prelevato/uploadato, il tipo di 
trasferimento (a se ascii, b se binario), 
se sono state eseguite azioni particolari 
dal server (C se il file era compresso, 

U se il file era decompresso, T se il file 
era un archivio TAR, _ se non è stata 
eseguita nessuna azione speciale), la 
direzione (o se il file è andato dal server 
all’utente, i se è andato dall’utente al 
server), il metodo di login dell’utente 
(a se anonimo, g se guest, r se tramite 
username legittimo contenuto in /etc/ 


passwd), l’username dell’utente, il 
servizio utilizzato (ftp in questo caso) 
il metodo di autenticazione utilizzato 
(0 se non è stato utilizzato nessun 
metodo di autenticazione, 1 se è stata 
usata l’autenticazione RFC931), l’id 
ritornato dall'autenticazione (* se non 
è tornato nessun ID, come nel nostro 
caso, visto che non abbiamo utilizzato 
alcuna autenticazione) ed infine lo stato 
del trasferimento (c se completo, i se 
incompleto). 


CONCLUSIONI 

Come avete visto vsftpd consente una 
configurazione estremamente capillare 
e nonostante questo resta molto 
intuitivo. 

E’ un programma molto versatile, 
grazie al quale diventa semplicissimo 
aggiungere il supporto SSL e 
il supporto ipv6, si nota molto 
l’approccio alla sicurezza introdotto 
dall’autore, che ci dà la possibilità di 
controllare anche quei comportamenti 
generalmente poco frequenti, ma che, 
comunque, potrebbero essere utilizzati 
per attaccare o rallentare la nostra 
macchina. Nonostante le dimensioni 
contenute, si presenta come un ottimo 
rivale dei suoi fratelli maggiori proftp 
e wuftp essendo dotato di ottima 
scalabilità e velocità. 
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SICUREZZA 
UN'l NT R □ D U Z11 


IN QUE5TD ARTICDLD PRESENTIAMO 
□ NE Al PROCESSI DI DIFESA 


AUTONOMI PER II CONTROLLO DEL RISCHIO ED IL 
MONITORAGGIO DEI LOG CON D55EC UftLIZZANBO 
□ PENBSD ED IL SUO PACKET FILTER. 


◄L 


'esponenziale crescita del 
mercato che ruota attorno 
all’lnformation & Commu- 
nication Technologies ed il 
vistoso aumento di reti per 
l’interconnessione di sistemi infor¬ 
mativi, hanno delineato, nel corso 
degli anni, una radicale trasforma¬ 
zione del nostro modo di vivere 
che interessa ogni singola azione 
quotidiana. 

Alzarsi al mattino ed accompagnare 
il caffè leggendo la nostra casella di 
posta elettronica è un'operazione di 
prassi ormai, così come lo è gesti¬ 
re centinaia o migliaia di contatti 
attraverso i vari social network ed 
i moderni software di messaggeria 
istantanea. 


Se pensiamo poi ai sistemi di com¬ 
mercio elettronico, alla gestione 
dei conti correnti con un semplice 
click, all'opportunità di organizzare 
viaggi, prenotare aerei e quant’altro, 
giocare in borsa, pagare il casello 
autostradale e veicolare eccellen¬ 
temente pubblicità attraverso siti e 
portali, appare quantomeno scon¬ 
tato presumere che il mondo dei 
bit sia qualcosa di molto meno 
astratto ed avulso dalla realtà 
rispetto a quello che si potreb¬ 
be pensare. 

Questo fiorente mercato ha avuto 
modo di creare nuove opportunità 
di lavoro, vere e proprie figure pro¬ 


fessionali che fino a qualche tempo 
fa non erano minimamente immagi¬ 
nabili. 

Se infatti fino a 20 anni fa la prero¬ 
gativa principale, in termini di risor¬ 
se umane, di un'azienda di medio¬ 
alto livello era quella di avvalersi 
di un buon General Manager, ora 
risulta del tutto parificata, in termini 
di importanza aziendale, la figura 
dell'IT Manager. 

In virtù di questo processo simbio¬ 
tico tra uomo e macchina diviene 
chiaro percepire come l’interesse 
alle tematiche relative al mondo del¬ 
la sicurezza informatica avvolga un 
po' tutti, addetti ai lavori e non. 

Anche sfruttando questa forte 
richiesta è stato creato un modello 
di business da zero: basti pen¬ 
sare all’industria dei produttori di 
software antivirus, firewall, IDS e via 
dicendo e alla continua nascita di 
aziende che fanno della sicurezza 
dell’informazione, della privacy e 
della gestione del rischio il loro core 
business. 

Ma quali sono le metodologie 
generalmente adottate per mo¬ 
nitorare costantemente lo stato 
di sicurezza di un’intera infra¬ 
struttura IT ? Che cosa significa 
rendere sicura un’infrastruttura IT ? 
Più in generale, cosa si intende con 


il termine “sicurezza” ? 

In un articolo proposto su HJ 194 
abbiamo introdotto i tre pilastri 
fondamentali dell’IT Security che 
riprendiamo anche in questa sede, 
ovvero: confidenzialità, integrità e 
disponibilità. 

Offrire sicurezza significa quindi 
governare il rischio in base ad 
un’organizzazione tecnica e logi¬ 
stica che tenga conto di questi tre 
inscindibili presupposti e che utilizzi 
tutte le risorse disponibili (umane, 
software e hardware) per farlo, pre¬ 
supponendo che: 

Gli host del nostro network debbano 
essere accessibili solo da parte di 
chi è autorizzato. 

Le informazioni in essi contenuti 
debbano essere modificabili solo 
da chi autorizzato secondo schemi 
e modalità definite dall’Amministra¬ 
tore. 

Debbano essere sempre accessibili 
da parte di chi è autorizzato. 

Il processo di Auditing si suddivi¬ 
de in fattore proattivo (analisi dei 
sistemi) e reattivo (sviluppo delle 
policy di sicurezza adeguate): 
individuare i principali punti focali 
del rischio, analizzando le maggiori 
criticità della nostra infrastruttura e 
sviluppando un’opportuna strategia 
di contenimento costituisce un 
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attributo fondamentale del nostro 
percorso. 

Avendo già analizzato nel corso 
dei passati numeri della rivista le 
modalità di attacco alle quali i nostri 
sistemi sono esposti e le metodolo¬ 
gie generalmente adottate da parte 
di incursori per farvi breccia (fattore 
proattivo), focalizzeremo la nostra 
attenzione su uno degli aspetti 
più cruciali: la definizione delle 
politiche atte alla gestione del 
rischio (fattore reattivo), ricordan¬ 
doci che la protezione offerta deve 
essere direttamente proporzionale 
alle criticità rilevate in una prece¬ 
dente fase di auditing del nostro 
network, dall'interno e dall’esterno 
(valutando, quindi, le risposte ai 
penetration test effettuati). 


Vedremo quindi come i concetti alla 
base del corretto monitoraggio 
dei log possano permetterci di rice¬ 
vere un immediato riscontro delle in¬ 
formazioni gestite dai nostri sistemi 
individuando i principali campanelli 
di allarme e come, attraverso questi, 
bloccare sul nascere accessi 
non autorizzati e tentativi di 
incursione. 

Analizzeremo pertanto OSSEC, uno 
dei più potenti Host-based Intru- 
sion Detection System (HIDS) 
offerti dalla comunità del software 
libero osservando come, attraver¬ 
so l’ausilio del sistema operativo 
OpenBSD ed il suo firewall integra¬ 
to (PF) sia possibile realizzare un 
complesso ed autonomo mecca¬ 
nismo di protezione perimetrale 


della nostra rete e degli host 
che la compongono. 


SCENARIO 

Considerata la totale promiscuità 
che caratterizza le reti di qualsiasi 
contesto aziendale medio/grande, 
ci preoccuperemo di realizzare una 
soluzione che trovi spazio in qual¬ 
siasi scenario lavorativo e che ben 
si presti ad essere interoperabile 
con svariate tipologie di OS ed 
architetture. 

Nella fattispecie analizzeremo una 
classica situazione operativa dove 
vedono configurarsi: un web server 
Apache, un servizio FTP, accesso 
SSH abilitato su n host, vari Client 
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ID/' seguito schematizzato il contesto operativo \ 
Ic/ie analizzeremo nel corso del presente articolo[ 
le la modalità di funzionamento dell’HIDS.^M 


Microsoft Windows 
e GNU/Linux, un file/ 
print server gestito 
con Samba, uno o 
più server di posta 
elettronica ed un 
server MySQL. 

Opteremo pertanto 
per una configura¬ 
zione dell’HIDS di 
tipo client/server 
(di seguito “c/s”) 
demandando la ge¬ 
stione delle regole di 
filtraggio e degli alert 
ricevuti ad una macchi¬ 
na montante OpenBSD 4.6. 

Ci occuperemo, in una seconda 
fase, di rendere perfettamente sin¬ 
croni gli operati di PF e di OSSEC 
evidenziando come sia possibile, 
attraverso quella che è definita mo¬ 
dalità “Active Response”, rendere 
le operazioni di log monitoring e 
blocco degli attacchi real-time per¬ 
fettamente autonome. 


ANALISI DEI LOG 

Sviluppato da Trend Micro e dispo¬ 
nibile con licenza GPL, al momento 
della scrittura di questo articolo, 

l’ultima versione di OSSEC 
disponibile per il download è la 
2.3. 

L’applicativo, in versione Client, fun¬ 
ziona su sistemi operativi Microsoft 
Windows, GNU/Linux, Solaris, BSD, 
AIX ed HP/UX. Per quanto riguarda 
il Server, invece, la compatibilità è 
assicurata solo per OS Unix-like. 

Prima di procedere con l’installa¬ 
zione del server e degli agenti sui 
nostri host (cosa che demanderemo 
al prossimo numero della rivista) è 
necessario chiarire come l’applica¬ 
tivo suddivide il proprio lavoro in 
modo estremamente modulare. 



Al momento dell’avvio OSSEC, 
infatti, definisce un set di demoni 
attivi sulla macchina con privilegi 
limitati al loro specifico uso: ognuno 
occuperà una specifica funzione. 

OSSEC Analysisd 

Questo modulo costituisce il cuore 
dell'applicativo occupandosi, come 
il nome stesso suggerisce, dell'ana¬ 
lisi dei log e degli eventi (tra poco 
vedremo su che presupposti e come 
è basata l’indagine sui log). 
Nell’installazione c/s il processo è 
collocato esclusivamente sul Server 
(che si presuppone essere total¬ 
mente dedicato a questo utilizzo) la¬ 
sciando le risorse per gli applicativi 
operanti sui nostri Client immutate. 
Nelle installazioni standalone è 
invece naturalmente avviato anche 
sui Client (con un aggravio in termini 
di risorse). 


Attivo sui nostri client, si occupa di 
inviare le informazioni necessarie 
all’espletamento dell'analisi dei log 
al Server. NeH’installazione c/s è 
naturalmente collocato all’interno 
dell’agente (e quindi del Client). 


Disponibile sul server nell’installa¬ 
zione c/s, si occupa di coordinare le 
comunicazioni tra gli agenti (client) 
ed il server interfacciandosi diret¬ 


tamente al modulo 
Analysisd per la suc¬ 
cessiva verifica ed 
analisi delle informa¬ 
zioni ricevute dagli 
host della rete. 


Compito del modulo 
è quello di controlla¬ 
re l'operato dei client 
(Agenti) ed archiviare 
tutti i log centralizza¬ 
ti prodotti in appositi 
archivi giornalieri. 


Interfacciandosi con Monitord 
rappresenta l’effettivo worker atto 
al recupero dei log; per questo è 
naturalmente avviato con privilegi 
amministrativi. 


Com’è facile intuire, questi ultimi 
moduli si occupano dell’invio degli 
alert via posta elettronica (vedremo 
di seguito come) e dell’attivazione 
dei processi di difesa necessari, 
identificati in OSSEC sotto il nome 
di “Active response” (attivazione del 
firewall, inserimento host attaccanti 
in hosts.deny, scrittura delle regole 
di filtraggio opportune in caso di 
attacco direttamente nel file di con¬ 
figurazione del firewall). 

Risulta a questo punto facile com¬ 
prendere come il processo di log 
monitoring effettuato da OSSEC 
poggi le basi su un’efficiente strate¬ 
gia modulare all’interno della quale 
si colloca un’intera catena produtti¬ 
va che tiene conto del recupero dei 
log (log collector), dell’invio di questi 
ultimi al server (agentd e remoted), 
dell'analisi degli stessi (analysisd), 
della segnalazione tempestiva delle 
criticità rilevate (maild) e dell’at¬ 
tivazione di meccanismi di difesa 
autonomi secondo schemi e modali¬ 
tà prefissate (execd). 
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Quest'ultimo punto trasforma di 
fatto l’applicativo da IDS ad IPS. 
Torneremo sull’argomento anche 
riprendendo alcuni concetti relativi a 
PF già visti nei numeri passati della 
rivista. 


DECDDERS 

Tutti sappiamo che i file di log 
possono contenere una quantità di 
informazioni considerevole e che 
non tutte sono di nostro interesse. 
Avere un sistema centralizzato di log 
monitoring può rendere sicuramen¬ 
te l’analisi delle stesse molto più 
efficiente e permetterci di avere un 
quadro della situazione circostan¬ 
ziale mirato ed aggiornato in tempo 
reale. Ma come è reso possibile ciò? 

Il parsing dei log è effettuato come 
abbiamo detto pocanzi dall’apposito 
modulo “Analysisd” in stretta siner¬ 
gia con i dati raccolti dai vari agenti. 
Approfondiamo quindi il discorso 
vedendo come sia effettivamente 
effettuata l’analisi delle informazioni 
raccolte. 

Il processo è suddiviso in tre singole 
fasi: pre-decodifica, decodifica 
ed analisi. 

Nella prima, le informazioni ri¬ 
cevute dai singoli agenti e dal 
server stesso sono parsate dal 
demone alla ricerca di “informa¬ 
zioni chiave” quali orario, nome 
dell’applicazione, nome del sistema. 

Nella seconda e terza fase viene 
analizzata, attraverso l’utilizzo di 
espressioni regolari, la restante 
parte del log nel dettaglio alla 
ricerca di informazioni quanto 
più esaustive possibili riguardo 
al significato semantico dei ri¬ 
scontri rilevati (indirizzi ip, userna- 
me, errori, etc.). 

Per capire meglio, esaminiamo un 
tipico decoder, nella fattispecie 


quello relativo al server web Apa¬ 
che, comprendendone il significato 
e l’impostazione: 


«decoder name="apache-errorio 
«program_name» A 'httpd«/ 
program_name> 

«/decoder» 

«decoder name="apache-errorlog"» 
«prematch» A [warn] | A [notice] 

| A [error] «/prematch» 

1 «/decoder» 

«decoder name="apache-errorlog- 
ip"» 

«parent»apache-errorlog«/pa 
rent» 

«prematch offset="after_ 
parent"» A [client«/prematch» 

«regex offset="after_pre 
match" » A (\d+. \d+.\d+.\d+)] </ 
regex» 

«order»srcip«/order» 

«/decoder» 

Il primo blocco di istruzioni identi¬ 
fica univocamente l’applicativo di 
nostro interesse da tenere “sotto 
controllo”: in questo caso, trattan¬ 
dosi di Apache, saranno presi in 
considerazione i processi identificati 
dal nome “httpd”. 

Nel secondo blocco sono definite le 
operazioni di decodifica accennate 
prima; sono infatti analizzate le in¬ 
formazioni da monitorare aM’interno 
dei log di errore del web server Apa¬ 
che che rispondano a tre determina¬ 
te regexp (warn, notice ed error). 

Nel terzo ed ultimo blocco si con¬ 
figura la ricerca dell’IP all'interno 
del medesimo file di log solo dopo 
l'analisi condotta dal secondo 
blocco e solo se vi sia presente un 
chiaro riferimento all’indirizzo stesso 
([Client A IP A ]). 

Se analizziamo brevemente un tipi¬ 
co stralcio di log di Apache diventa 
molto più semplice capire il signi¬ 
ficato del decoder e la sua doppia 


analisi con regexp: 

[Fri Mar 5 23:15:03 2010] [er 
ror] [client 93.**.247.**] File 
does not exist: ... 

Risulta evidente a questo punto 
il senso delle espressioni regola¬ 
ri: nella prima parte ([Fri Mar 5 
23:15:03 2010 ] ) troviamo un chia¬ 
rissimo riscontro orario (oggetto di 
analisi nel processo di pre-decodifi- 
ca); nella seconda ([error]) trovia¬ 
mo una delle tre opzioni contempla¬ 
te nel secondo blocco del decoder 
ed oggetto dell’analisi di decodifica 
relativa alla tipologia del messaggio 
(in questo caso di errore); nella terza 
([Client 93. **.247.**]) si comple¬ 
ta il processo di decodifica avendo 
individuato anche l'IP di provenien¬ 
za attraverso l’ok ricevuto dall'ap¬ 
posita regexp; nella quarta ed ultima 
parte si snoda il processo di analisi 
semantica (il significato del messag¬ 
gio è reso chiaro direttamente dal 
testo che accompagna il log: "File 
does not exist"). 

Come facilmente intuibile, risulta de¬ 
cisamente semplice creare decoder 
in formato XML contenenti espres¬ 
sioni regolari personalizzate per 
software specifico o semplicemente 
per analizzare dettagliatamente 
eventi e file. 


LIVELLI DI ALLERTA 

Fin qui abbiamo definito tutto il 
necessario per capire il modo di 
interfacciarsi ai software da par¬ 
te dell’applicativo completando il 
discorso alla base del monitoraggio 
dei log. Ma OSSEC è ben altro e 
consente di stendere un profilo del 
rischio attraverso i riscontri ricevuti 
dall'analisi dei log definendo op¬ 
portuni “livelli di allerta” crescenti in 
base alle problematiche riscontrate. 

L’operato dell’applicativo è infat¬ 
ti disciplinato da un set di regole 
predefinito. 
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Il formato utilizzato per la definizio¬ 
ne del modello di lettura e analisi 
dei log è anche in questo caso il co¬ 
mune XML e trovano spazio schemi 
pronti all’uso per la quasi totalità 
dei software Open Source (Apache, 
Mysql, Squid, Sendmail, Samba) e 
buona fetta di soluzioni commerciali 
come Antivirus, MS Exchange e 
firewall (vedi box). 

BOX #1: BUILT-IN RULES PRESENTI 
NELL'INSTALLAZIONE DI BASE 

apache_rules.xml 
mysql_rules.xml 
sonicwall_rules.xml 
arpwatch_rules.xml 
named_rules.xml 
spamd_rules.xml 
asterisk_rules.xml 
netscreenfw_rules.xml 
squid_rules.xml 
attack_rules.xml 
nginx_rules.xml 
sshd_rules.xml 
Cisco-ios_rules.xml 
ossec_rules.xml 
symant e c-av_ru1es.xml 
courier_rules.xml 
pam_rules.xml 
Symantec-ws_rules.xml 
dovecot_rules.xml 
php_rules.xml 
syslog_rules.xml 
firewall_rules. xml 
pix_rules.xml 
telnetd_rules.xml 
ftpd_rules.xml 
policy_rules.xml 
hordeimp_rules.xml 
postfix_rules .xml 
translated 
trend-osce_rules.xml 
ids_rules.xml 
postgresql_rules.xml 
vmpop3d_rules.xml 
imapd_rules.xml 
proftpd_rules.xml 
vmware_rules.xml 
local_rules.xml 
pure-ftpd_rules.xml 
vpn_concentrator_rules.xml 
mailscanner_rules.xml 
racoon rules.xml 


vpopmail_rules.xml 
mcafee_av_rules.xml 
roundcube_rules.xml 
vsftpd_rules.xml 
ms-exchange_rules.xml 
rules_config. xml 
web_rules.xml 
ms_dhcp_rules.xml 
sendmail_rules.xml 
wordpress_rules.xml 
ms_ftpd_rules.xml 
smbd_rules.xml 
zeus_rules.xml 
msauth_rules.xml 
solaris_bsm_rules.xml 

Senza perderci in inutili chiacchiere 
consideriamo come prima un esem¬ 
pio pratico (stavolta con SSH) ed 
una delle tante regole predefinite dal 
software (sshd_rules.xml). 

Prima di procedere introduciamo 
però alcune nozioni di base che ci 
consentiranno di capire meglio i 
discorsi a seguire. 

Ogni regola definita con OSSEO pre¬ 
vede un identificativo unico variabile 
da 100 a 99999. 

Il livello di allerta definibile sulla 
singola regola varia da un minimo 
di 0 ad un massimo di 15 (in ordine 
ovviamente crescente rispetto al 
rischio individuato). 

Qualora non volessimo essere 
informati circa un riscontro ad una 
determinata regola è in ogni caso 
possibile definire l’apposita opzione 
“noalert”, indipendentemente dal 
livello di allerta stabilito. 

Per limitare l’insorgenza di falsi 
positivi è possibile definire alcuni 
parametri specifici: è ad esempio 
consigliabile individuare una certa 
frequenza nei log prima di generare 
un alert attraverso l’apposita opzio¬ 
ne “frequency” così come potrebbe 
essere interessante analizzare spe¬ 
cifici archi temporali tra un errore e 
l’altro con la direttiva “timeframe”. 
Generato un alert, è inutile generar¬ 
ne un’altro per la stessa evenienza 
in un arco temporale ristretto che 
presupporrebbe lo stesso riscontro; 


a tal fine può rivelarsi utile l’adozio¬ 
ne della direttiva "ignore” nel corpo 
della regola. 

Detto questo, passiamo all’analisi 
di una delle tante regole per SSH, 
come sopra menzionato, che meglio 
chiarifichi i punti appena citati, 
occupandosi, nello specifico, di in¬ 
dividuare i tentativi di accessi brute 
force (più in là vedremo anche come 
bloccarli sul nascere): 

crule id="5700" level="0" 
noalert="l"> 

<decoded_as>sshd</deco 

ded_as> 

<description>SSHD 
raessages grouped.</description> 
</rule> ' 

In questo primo blocco definiamo 
l’id univoco da assegnare ad un 
semplice contenitore di messaggi 
relativi a SSH (e quindi indentifi- 
cati attraverso l’apposito decoder, 
come visibile alla seconda riga) 
definendo un livello di allerta minimo 
(level=” 0 ”) e la non notifica dello 
stesso (noalert=”1”). 

Questo ci servirà per realizzare 
alcune regole “a catena” attraverso 
l’apposita direttiva "if_sid” che ve¬ 
dremo di seguito. In altre parole, 
realizzeremo un set di regole 
concatenato del tipo: 

1- Processo SSH attivo (no alert) - 
ID: 5700 

2 - Login (no alert) 

3 - Login errato (primo alert, sem¬ 
plicemente: “Accesso negato") - ID: 
5710 <>5700 

4 - Fino al quinto login errato nell'ar¬ 
co di 2 minuti, stesso IP (stesso 
discorso) - ID: 5710 < > 5700 

5 - Sesto login errato in 2 minuti, 
stesso IP (nuovo alert, brute force in 
corso) - ID: 5712 < > 5710 < > 5700 


Procediamo quindi con il secondo 
blocco (punto 3 del nostro set di 
regole): 
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<rule id="5710" level="5"> 

<if_sid>5700</if_sid> 
<match>illegal 
user|invalid user</match> 

<description>Attempt to 
login using a non-existent 
user</description> 

<group>invalid_ 
login,authentication_failed,</ 
group> 

</rule> 

Qui definiamo il primo alert genera¬ 
to in caso di login errato. Vediamo 
quindi l’uso della direttiva “if_sid” 
accennata prima, volta a definire 
la relazione di dipendenza con la 
regola 5700 (del resto, un errore 
relativo all’autenticazione su SSH 
difficilmente potrebbe generarsi se il 
servizio non fosse attivo). 

Attraverso la direttiva “match” scri¬ 
viamo quindi l’apposita espressione 
regolare finalizzata all’identificazione 
della problematica in essere. Questa 
definisce esattamente le parole da 
ricercare all’interno dei log generati 
dal software preso in considerazio¬ 
ne (in questo caso SSHd) affinché 
sia richiamata la regola stessa. 

Nel tag “description” invece offria¬ 
mo una descrizione di significato 
compiuto che sarà poi riportata 
sull'alert vero e proprio. In ultima 
istanza, alla voce “group”, definia¬ 
mo la tipologia entro cui la regola 
prende forma. 

Vediamo quindi l’ultimo blocco (pun¬ 
to 5 del nostro set di regole): 

<rule id="5712" level="10" 
frequency="6" timeframe="120" 
ignore="60"> 

<if_matched_sid>5710</ 

if_matched_sid> 

<description>SSHD brute 
force trying to get access to 
thè System.</description> 
<same_source_ip /> 
<group>authentication_ 
failures,</group> 


</rule> 

Per questo blocco (che rappresenta 
sostanzialmente un'integrazione del 
secondo), come ci aspettavamo, la 
relazione di dipendenza è impostata 
con la regola 5710 ma stavolta è 
più forte, ereditando attraverso la 
direttiva “if_matched_sid” tutto il 
corpo-regola definito prima ed ag¬ 
giungendo ulteriori specifiche. 

Presenta un livello di allerta ele¬ 
vato (10) e viene attivata uni¬ 
camente dopo 6 riscontri alla 
regola 5710 (frequency=”6”) 
generati in una frazione di 2 minuti 
(timeframe=”120”). 

Scattato l'alert, infine, il sistema non 
riconsidererà la regola per un minu¬ 
to (ignore=”60”). 

L'utilizzo della direttiva "same_ 
sourcejp” determina l'attivazio¬ 
ne del blocco solo in presenza di 
richieste provenienti dallo stesso IP. 

I tag “description” e “group” si com¬ 
mentano a questo punto da soli. 

L’ALERT GENERATO 

In tre semplici passaggi abbiamo 
definito una precisa metodologia 
per l’individuazione dei tentativi di 
accesso non autorizzati via SSH ai 
nostri host. Vediamo quindi un tipico 
alert inviato dal demone “maild” alla 
nostra casella di posta elettronica 
durante un tentativo di attacco brute 
force: 

OSSEC HIDS Notificatiion. 

2010 Mar 07 00:58:04 

Received From: www->/var/log/ 
authlog 

fired (level 10) -> 


Portion of thè log(s): 

Mar 7 00:58:03 www sshd[22643]: 
Failed password for invalid user 
marine from 123.125.127.207 port 


35068 ssh2 

Mar 7 00:58:03 www sshd[22643]: 
Invalid user marine from 

123.125.127.207 

Mar 7 00:57:59 www sshd[5382]: 
Failed password for invalid user 
marine from 123.125.127.207 port 
31461 ssh2 

Mar 7 00:57:59 www sshd[5382]: 
Invalid user marine from 

123.125.127.207 

Mar 7 00:57:54 www sshd[29559]: 
Failed password for invalid user 
marine from 123.125.127.207 port 
28051 ssh2 

Mar 7 00:57:54 www sshd[29559]: 
Invalid user marine from 

123.125.127.207 

Mar 7 00:57:50 www sshd[19892]: 
Failed password for invalid user 
marine from 123.125.127,207 port 
24683 ssh2 

Come immaginavamo, nell’alert, ol¬ 
tre i dettagli del caso, è riportato un 
chiaro riferimento alla regola 5712 
(evidenziato). 

Viene quindi successivamente 
riportato lo spezzone di errar log 
del web server incriminato, utile per 
identificare all’istante orari ed IP di 
provenienza dell’attacco. Senz’altro 
utile, no ? 

REGOLE AD H □ C 

Ora che abbiamo capito come 
funziona l’architettura dell’applica¬ 
tivo e su che schemi poggia il suo 
funzionamento possiamo lanciarci 
finalmente nella parte più creativa 
deH’articolo: la scrittura di regole 
personalizzate. 

In questa sede vedremo, a titolo 
esclusivamente esemplificativo, 
come sia possibile scrivere una 
specifica regola che ci consenta 
di monitorare costantemente le 
porte aperte su un determinato host 
(interno o esterno alla rete) utilizzan¬ 
do il comodo e semplice nmap ed 
interfacciandolo con l’HIDS. 

















L'applicativo infatti è in grado di 
leggere senza alcun problema i log 
in formato grepable {da nmap: “-oG 
nomefile”) di nmap come qualunque 
altro log di sistema. 

Gli alert saranno quindi generati nel 
formato standard OSSEC ed inviati 
periodicamente via posta elettroni¬ 
ca ogni qualvolta subentrino nuove 
informazioni interessanti (porte 
aperte ma precedentemente chiuse 
o viceversa). 

Per i più pigri, ricordiamo che tutti i 
file XML di seguito analizzati sono 
disponibili online al sito www.ha- 
ckerjournal.it. 

SCANSIONE H □ ST 

Per la scansione dell'host (in questo 
caso interno alla rete e precisa- 
mente 192.168.1.100) opteremo per 
l’analisi delle porte UDP e TCP via 
connectO utilizzando l’interfaccia di 
rete interna del firewall (nel nostro 
caso “emO”) ed esportando il risul¬ 
tato su un file di testo (“/var/log/ 
nmap.log ”) che sarà poi analizzato 
da OSSEC: 

nmap --append_output -sT -sU 
-e emO -oG /var/log/nmap.log 
192.168.1.100 

Testiamo in prima battuta il fun¬ 
zionamento di nmap, ottenendo il 
consueto report: 

PORT STATE SERVICE 

113/top open auth 

500/udp open|filtered isakmp 

MAC Address: 40 : 61:**:**:**:1D 
(Unknown) 

Aggiungiamo quindi una riga alla 
crontab del sistema che si occupi di 
avviare nmap ogni 30 minuti: 


$ sudo crontab -e 


30 * * * * nmap --append_output 
-sT -sU -e emO -oG /var/log/ 
nmap.log 192.168.1.100 

Segnaliamo ora ad OSSEC il per¬ 
corso relativo al file generato 
specificando nel tag “log format” 
la stringa nmapg; ciò farà intendere 
all’HIDS che si tratta di output in 
formato grepable di nmap: 

<localfile> 

<log_format>nmapg</log_ for¬ 
mat > 

<location>/var/log/nmap. 
log</location> 

</localfile> 

Dopo un necessario riavvio di 
OSSEC, una rapida occhiata agli 
alert ci conferma immediatamente la 
riuscita dell’opera: 

# tail -f /var/ossec/logs/alerts/ 
alerts.log 

** Alert 1268013722.7319: mail - 
ossee,hostinfo, 

2010 Mar 08 03:02:02 www->/var/ 
log/nmap.log 

Rule: 581 (level 8) -> 'Host in- 
formation added .' 

Sre IP: (none) 

User: (none) 

Host: 192.168.1.100 (), open 
ports: 135(tep) ... 

Se invece siamo restii alla Shell, una 
mail inviata dal sistema ci notifi¬ 
cherà immediatamente le stesse 
informazioni: 

OSSEC HIDS Notification. 

2010 Mar 08 03:02:02 

Received From: www->/var/log/ 
nmap.log 

Rule: 581 fired (level 8) -> "Host 
information added." 

Portion of thè log(s): 

Host: 192.168.1.100 (), open 
ports: 135(tep) ... 


momento in cui, sempre sull’host 
considerato, viene aperta un’ul¬ 
teriore porta rispetto a quelle 
identificate dal primo alert. 

Proviamo, banalmente, ad aprire 
la porta 50000 con i n semplice 
script: 

$ cat bind.c 
((include <sys/socket.h> 

(♦include <netinet/in.h> 

int main() { 

int s, c; 

struct sockaddr_in s_ 
addr, c_addr; 

int c_len = sizeof(c_ 

addr); 

s_addr,sin_family = AF_ 

INET; 

s_addr,sin_port = 
htons(50000); 

s_addr.sin_addr.s_addr = 
INADDR_ANY; 

s = Socket (AF_INET, 
SOCK_STREAM, 0); 

bind (s,(struct 
sockaddr*)&s_addr,sizeof(s_ 
addr)); 

listen(s,1) ; 
accept(s,(struct 
sockaddr*) &c_addr, &c_len); 

) 

$ gcc bind.c -o bind 
$ . /bind 

Puntuale come un orologio svizze¬ 
ro, scattata la mezzora del cronjob 
definito prima, un apposito alert ci 
informerà sia da Shell che via posta 
elettronica circa il cambiamento 
avvenuto rispetto alle porte inizial¬ 
mente aperte sull’host: 

# tail -f /var/ossec/logs/alerts/ 
alerts.log 

** Alert 1268017859.7693: mail - 
ossee,hostinfo, 

2010 Mar 08 04:10:59 www->/var/ 
log/nmap. log 

Rule: 580 (level 8) -> 'Host in- 
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Vediamo invece cosa accade nel 










formation changed. 

Sre IP: (none) 

User: (none) 

Host: 192.168.1.100 (), open 
ports: 135(top) ... 50000 (top) 

Per finire, vediamo come sono de¬ 
finite le regole 580 e 581 oggetto di 
questi alert: 

<rule id="580" level="8"> 
<category>ossec</ 
category> 

<decoded_as>hostinfo_ 

modiiied</decoded_as> 

<description>Host infor 
mation changed.</description> 

<group>hostinfo,</group> 

</rule> 

<rule id="581" level="8"> 
<category>ossec</ 
category> 

<decoded_as>hostinfo_ 

new</decoded_as> 

<description>Host 
information added.</description> 
<group>hostinfo,</group> 

</rule> 

Il lettore, a questo punto, dovrebbe 
essere autonomamente in grado di 
interpretare il significato di queste 
due semplici regole. 

Risulta quasi lapalissiano dire che 
l’unico freno imposto nella realizza¬ 
zione di regole ad hoc è la nostra 
fantasia; come abbiamo avuto modo 
di vedere, OSSEO è un applicativo 
di comprovate possibilità e risulta 
facilmente modellabile. 

Il lettore avrà sicuramente percepito 
i margini di applicazione dell'HIDS 
e la totale capacità di adattamento 
a contesti di qualsiasi dimensione e 
natura. 


La documentazione offerta online 
inoltre è notevole; possiamo trovare 
spunti ed approfondimenti per qual¬ 
siasi evenienza con una semplice 
ricerca. 






CDNCLUSIDNI 

No, non ci siamo dimenticati di illustra¬ 
re i passi necessari al setup del server 
e dei vari agenti. 

Semplicemente, in questa prima parte 
deH'articolo, abbiamo preferire offrire 
una trattazione ampia tesa soprattutto 
all'introduzione dell’HIDS ed al suo 
funzionamento nel dettaglio. 

Assodato ciò, risulterà sicuramente 
più facile ed immediato per il lettore 
comprendere come operativamente 
costruire lo scenario definito in questa 
sede nel corso del prossimo numero 
della rivista. 

Per i più impazienti, come sempre, 
segnaliamo il forum ed il canale IRC 
della rivista (irc.azzurra.org - #ha- 
ckerjoumal). Entrambi costituiscono il 
miglior posto dove richiedere maggiori 
informazioni e trovar risposta alle 
proprie domande confrontandosi con 
gli autori e la community. 

Concludiamo quindi la prima parte 
della nostra trattazione offrendo alcuni 
opportuni riferimenti citati ed utilizzati 
anche durante la scrittura di quest'ulti- 
ma (vedi box). 

BOX #2: RIFERIMENTI I PARTE 

Website relativi agli applicativi ed i 
sistemi operativi analizzati: 

Trend Micro™ OSSEC: www.ossec.net 
OpenBSD: www.openbsd.org 
Nmap: www.nmap.org 
Apache httpd: httpd.apache.org 
OpenSSH: www.openssh.com 

Alcune riferimenti online utili: 

OSSEC Manual: www.ossec.net/ mainima¬ 
nuali 

Regexp: en. wikipedia. org/wiki/Regular_ex- 
pression 

Beej’s guide to Network Programming: beej. 
us/guide/bgnet/ 

Nmap officiai project guide to Network 
Discovery and Security Scanning: nmap.org/ 


book/toc.html 

Extensible Markup Language (XML): www. 
w3.org/XMU 

IDS and IPS placement for Network Protec- 
tion (by R. Drum, ISO CISSP): tiny.cc/GJcfn 
OpenBSD 4.6 Installation Guide: www.openb- 
sd. org/faq/faq4. html 

Ulteriori riferimenti: 

OSSEC Host-Based Intrusion Detection 
Guide by A. Hay, D. Cid, R. Bray (editore 
Syngress): tiny.cc/DFamX 
Hacker Journal nr. 188 - “Protezione totale” 
Hacker Journal nr. 194 - “Probing & Penetra- 
tion testing" 

Hacker Journal nr. 197 - “Introduzione ad 
OpenBSD” 


PRD SS IMAM ENTE 

Esauriti i necessari richiami teorici af¬ 
frontati durante il corso dell’articolo, 
vedremo come si configura il vero e 
proprio processo di difesa autonomo 
accennato nel medesimo.! 
Focalizzeremo pertanto la nostra 
attenzione sulla modalità “Active re- 
sponse” dell’applicativo, spostando 
i margini di applicazione dello stesso 
da Intrusion Detection System (IDS) 
ad Intrusion Prevention System (IPS). 
In quest'ottica risulterà obbligatorio 
rispolverare alcune nozioni già intro¬ 
dotte nel corso dei numeri passati 
della rivista relative a PF, vedendo 
come integrarlo al meccanismo A.R. 
di OSSEC. 

Sarà inoltre messa sotto i riflettori 
anche la comoda interfaccia web 
dell’applicativo e l’integrazione del 
meccanismo di alerting a database 
MySQL: sicuramente un modo molto 
più comodo di accedere alle infor¬ 
mazioni di nostro interesse rispetto 
quanto visto finora. 

Concludendo, testeremo quanto rea¬ 
lizzato in entrambe le parti attraverso 
la programmazione di attacchi mirati 
ai singoli host della rete utilizzando 
prevalentemente software Open 
Source. 
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